Kali渗透测试：Windows事件管理工具wevtutil的使用方法（一）-阿里云开发者社区

Kali渗透测试：Windows事件管理工具wevtutil的使用方法（一）

2024-10-10 601

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： Kali渗透测试：Windows事件管理工具wevtutil的使用方法（一）

Kali渗透测试：Windows事件管理工具wevtutil使用方法
渗透测试者发现可以利用事件日志（event logging）的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe（windows event utility），使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。

1. 语法（Syntax）

wevtutil [{
   el | enum-logs}] [{
   gl | get-log} <Logname> [/f:<Format>]]
[{
   sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{
   ep | enum-publishers}]
[{
   gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{
   im | install-manifest} <Manifest>]
[{
   um | uninstall-manifest} <Manifest>] [{
   qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{
   gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{
   epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{
   al | archive-log} <Logpath> [/l:<Locale>]]
[{
   cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

2. 参数（Parameters)

3. 选项（Options）

4. 备注（Remarks）
使用带有 sl 参数的配置文件
配置文件是一个 XML 文件，与 wevtutil gl /f:xml 的输出格式相同。显示启用保留、启用自动备份并在应用程序日志上设置最大日志大小的配置文件的格式如下：

<?xml version=1.0 encoding=UTF-8?>
<channel name=Application isolation=Application
xmlns=https://schemas.microsoft.com/win/2004/08/events>
<logging>
<retention>true</retention>
<autoBackup>true</autoBackup>
<maxSize>9000000</maxSize>
</logging>
<publishing>
</publishing>
</channel>