WEVTUTIL – управление событиями в Windows.
Формат командной строки:
wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]. ] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]. ]
Вы можете указывать имена команд и параметров как в краткой (например, «ep /uni»), так и в полной (например, «enum-publishers /unicode») форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.
| el | enum-logs gl | get-log sl | set-log ep | enum-publishers gp | get-publisher im | install-manifest um | uninstall-manifest qe | query-events gli | get-log-info epl | export-log al | archive-log cl | clear-log | Получение списка имен журналов. Получение сведений о конфигурации журнала. Изменение конфигурации журнала. Получение списка издателей событий. Получение сведений о конфигурации издателя. Установка издателей и журналов событий из манифеста. Удаление издателей и журналов событий из манифеста. Запрос событий из журнала или файла журнала. Получение сведений о состоянии журнала. Экспорт журнала. Архивирование экспортированного журнала. Очистка журнала. |
Для получения дополнительных сведений о конкретной команде введите следующий текст:
Примеры использования WENTUTIL.
wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1
Пример отображаемой информации:
creationTime: 2017-02-10T07:22:58.552Z
lastAccessTime: 2017-02-10T07:22:58.552Z
lastWriteTime: 2017-03-07T08:39:30.870Z
fileSize: 1118208
attributes: 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1
name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1
Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.
name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Устройства
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтеры
Очистка журналов событий Windows с помощью PowerShell и wevtutil
Очистка журналов событий с помощью PowerShell
В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog.
Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.
Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:
Clear-EventLog –LogName System
В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом «The System log file was cleared».
Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:
Таким образом, будут очищены все классические журналы EventLogs.
Очистка журналов с помощью консольной утилиты WevtUtil.exe
Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe. Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:
Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:
WevtUtil enum-logs
или более короткий вариант:
На экране отобразится довольно внушительный список имеющихся журналов.
Можно получить более подробную информацию по конкретному журналу:
Очистка событий в конкретном журнале выполняется так:
Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:
WevtUtil cl Setup /bu:SetupLog_Bak.evtx
Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:
Wevtutil el | ForEach
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.
Очистка журналов может быть выполнена и из классической командной строки:
wevtutil
Enables you to retrieve information about event logs and publishers. You can also use this command to install and uninstall event manifests, to run queries, and to export, archive, and clear logs.
Syntax
Parameters
| Parameter | Description |
|---|---|
| Displays the names of all logs. | |
| | Displays configuration information for the specified log, which includes whether the log is enabled or not, the current maximum size limit of the log, and the path to the file where the log is stored. |
| | Modifies the configuration of the specified log. |
| Displays the event publishers on the local computer. | |
| [/ge: ] [/gm: ] [/f: ]] | Displays the configuration information for the specified event publisher. |
| Installs event publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com). | |
| Uninstalls all publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com). | |
| [/lf: ] [/sq: ] [/q: ] [/bm: ] [/sbm: ] [/rd: ] [/f: ] [/l: ] [/c: ] [/e: ] | Reads events from an event log, from a log file, or using a structured query. By default, you provide a log name for . However, if you use the /lf option, then must be a path to a log file. If you use the /sq parameter, must be a path to a file that contains a structured query. |
| | Displays status information about an event log or log file. If the /lf option is used, is a path to a log file. You can run wevtutil el to obtain a list of log names. |
| [/lf: ] [/sq: ] [/q: ] [/ow: ] | Exports events from an event log, from a log file, or using a structured query to the specified file. By default, you provide a log name for . However, if you use the /lf option, then must be a path to a log file. If you use the /sq option, must be a path to a file that contains a structured query. is a path to the file where the exported events will be stored. |
| | Archives the specified log file in a self-contained format. A subdirectory with the name of the locale is created and all locale-specific information is saved in that subdirectory. After the directory and log file are created by running wevtutil al, events in the file can be read whether the publisher is installed or not. |
| | Clears events from the specified event log. The /bu option can be used to back up the cleared events. |
Options
is *, the user will be prompted to enter a password. This option is only applicable when the /u option is specified.
Remarks
Using a configuration file with the sl parameter
The configuration file is an XML file with the same format as the output of wevtutil gl /f:xml. To shows the format of a configuration file that enables retention, enables autobackup, and sets the maximum log size on the Application log:
Examples
List the names of all logs:
Display configuration information about the System log on the local computer in XML format:
Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):
Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:
Install publishers and logs from the myManifest.xml manifest file:
Uninstall publishers and logs from the myManifest.xml manifest file:
Display the three most recent events from the Application log in textual format:
Display the status of the Application log:
Export events from System log to C:\backup\system0506.evtx:
Clear all of the events from the Application log after saving them to C:\admin\backups\a10306.evtx:
Скачать Wevtutil.exe и исправить ошибки EXE
Последнее обновление: 07/03/2021 [Среднее время чтения статьи: 4,7 мин.]
Файлы Eventing Command Line Utility, такие как wevtutil.exe, используют расширение EXE. Файл считается файлом Win32 EXE (Библиотека динамической компоновки) и впервые был создан компанией Microsoft для пакета ПО Microsoft® Windows® Operating System.
Файл wevtutil.exe изначально был выпущен с Windows Vista 11/08/2006 для ОС Windows Vista. Датой самого последнего выпуска файла для Windows 10 является 07/29/2015 [версия 10.0.15063.0 (WinBuild.160101.0800)]. Файл wevtutil.exe включен в пакет ПО в Windows 10, Windows 8.1 и Windows 8.
В этой статье обсуждаются подробные сведения о файлах, порядок устранения неполадок с файлом EXE при проблемах с wevtutil.exe, а также полный набор бесплатных загрузок для каждой версии файла, которая была зарегистрирована нашей командой.
Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с wevtutil.exe и (или) Windows.
Совместимость с Windows 10, 8, 7, Vista, XP и 2000
Средняя оценка пользователей
Обзор файла
| Общие сведения ✻ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Имя файла: | wevtutil.exe | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Расширение файла: | расширение EXE | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Описание: | Eventing Command Line Utility | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Тип объектного файла: | Dynamic link library | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Файловая операционная система: | Windows NT 32-bit | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Тип MIME: | application/octet-stream | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Пользовательский рейтинг популярности: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Сведения о разработчике и ПО | |
|---|---|
| Разработчик ПО: | Microsoft Corporation |
| Программа: | Microsoft® Windows® Operating System |
| Авторское право: | © Microsoft Corporation. All rights reserved. |
| Сведения о файле | |
|---|---|
| Набор символов: | Unicode |
| Код языка: | English (U.S.) |
| Флаги файлов: | (none) |
| Маска флагов файлов: | 0x003f |
| Точка входа: | 0x1f340 |
| Размер кода: | 146432 |
| Информация о файле | Описание |
|---|---|
| Размер файла: | 164 kB |
| Дата и время изменения файла: | 2017:03:18 18:19:07+00:00 |
| Дата и время изменения индексного дескриптора файлов: | 2017:11:05 07:07:54+00:00 |
| Тип файла: | Win32 EXE |
| Тип MIME: | application/octet-stream |
| Предупреждение! | Possibly corrupt Version resource |
| Тип компьютера: | Intel 386 or later, and compatibles |
| Метка времени: | 2104:01:15 19:36:16+00:00 |
| Тип PE: | PE32 |
| Версия компоновщика: | 14.10 |
| Размер кода: | 146432 |
| Размер инициализированных данных: | 21504 |
| Размер неинициализированных данных: | 0 |
| Точка входа: | 0x1f340 |
| Версия ОС: | 10.0 |
| Версия образа: | 10.0 |
| Версия подсистемы: | 10.0 |
| Подсистема: | Windows command line |
| Номер версии файла: | 10.0.15063.0 |
| Номер версии продукта: | 10.0.15063.0 |
| Маска флагов файлов: | 0x003f |
| Флаги файлов: | (none) |
| Файловая ОС: | Windows NT 32-bit |
| Тип объектного файла: | Dynamic link library |
| Подтип файла: | 0 |
| Код языка: | English (U.S.) |
| Набор символов: | Unicode |
| Наименование компании: | Microsoft Corporation |
| Описание файла: | Eventing Command Line Utility |
| Версия файла: | 10.0.15063.0 (WinBuild.160101.0800) |
| Внутреннее имя: | wevtutil.exe |
| Авторское право: | © Microsoft Corporation. All rights reserved. |
| Оригинальное имя файла: | wevtutil.exe |
| Название продукта: | Microsoft® Windows® Operating System |
| Версия продукта: | 10.0.15063.0 |
✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.
Что такое сообщения об ошибках wevtutil.exe?
wevtutil.exe — ошибки выполнения
Ошибки выполнения — это ошибки Windows, возникающие во время «выполнения». Термин «выполнение» говорит сам за себя; имеется в виду, что данные ошибки EXE возникают в момент, когда происходит попытка загрузки файла wevtutil.exe — либо при запуске приложения Windows, либо, в некоторых случаях, во время его работы. Ошибки выполнения являются наиболее распространенной разновидностью ошибки EXE, которая встречается при использовании приложения Windows.
В большинстве случаев ошибки выполнения wevtutil.exe, возникающие во время работы программы, приводят к ненормальному завершению ее работы. Большинство сообщений об ошибках wevtutil.exe означают, что либо приложению Windows не удалось найти этот файл при запуске, либо файл поврежден, что приводит к преждевременному прерыванию процесса запуска. Как правило, Windows не сможет запускаться без разрешения этих ошибок.
К числу наиболее распространенных ошибок wevtutil.exe относятся:
Не удается запустить программу из-за отсутствия wevtutil.exe на компьютере. Попробуйте переустановить программу, чтобы устранить эту проблему.
Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
Поиск причины ошибки wevtutil.exe является ключом к правильному разрешению таких ошибок. Несмотря на то что большинство этих ошибок EXE, влияющих на wevtutil.exe, происходят во время запуска, иногда ошибка выполнения возникает при использовании Microsoft® Windows® Operating System. Причиной этого может быть недостаточное качество программного кода со стороны Microsoft Corporation, конфликты с другими приложениями, сторонние плагины или поврежденное и устаревшее оборудование. Кроме того, эти типы ошибок wevtutil.exe могут возникать в тех случаях, если файл был случайно перемещен, удален или поврежден вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
Как исправить ошибки wevtutil.exe — 3-шаговое руководство (время выполнения:
Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему wevtutil.exe. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.
Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.
Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):
Если на этапе 1 не удается устранить ошибку wevtutil.exe, перейдите к шагу 2 ниже.
Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл wevtutil.exe.
Средство проверки системных файлов (System File Checker) — это утилита, входящая в состав каждой версии Windows, которая позволяет искать и восстанавливать поврежденные системные файлы. Воспользуйтесь средством SFC для исправления отсутствующих или поврежденных файлов wevtutil.exe (Windows XP, Vista, 7, 8 и 10):
Следует понимать, что это сканирование может занять некоторое время, поэтому необходимо терпеливо отнестись к процессу его выполнения.
Если на этапе 2 также не удается устранить ошибку wevtutil.exe, перейдите к шагу 3 ниже.
Шаг 3. Выполните обновление Windows.
Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках wevtutil.exe может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:
Если Центр обновления Windows не смог устранить сообщение об ошибке wevtutil.exe, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.
Если эти шаги не принесут результата: скачайте и замените файл wevtutil.exe (внимание: для опытных пользователей)
Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.
wevtutil
Позволяет получать сведения о журналах событий и издателях. Эту команду также можно использовать для установки и удаления манифестов событий, выполнения запросов, экспорта, архивирования и очистки журналов.
Синтаксис
Параметры
Параметры
Комментарии
Использование файла конфигурации с параметром SL
Файл конфигурации представляет собой XML-файл того же формата, что и выходные данные wevtutil GL <> /f./f: XML. Чтобы показать формат файла конфигурации, который включает сохранение, включает авторезервное копирование и задает максимальный размер журнала в журнале приложений:
Примеры
Список имен всех журналов:
Отображение сведений о конфигурации системного журнала на локальном компьютере в формате XML:
Используйте файл конфигурации для задания атрибутов журнала событий (см. раздел Примечания для примера файла конфигурации):
отображение сведений о издателе событий Microsoft-Windows-Eventlog, включая метаданные о событиях, которые может вызывать издатель:
Установите издатели и журналы из файла манифеста myManifest.xml:
Удалите издатели и журналы из файла манифеста myManifest.xml:
Отображать три последних события из журнала приложений в текстовом формате:
Отображение состояния журнала приложений:
Экспортировать события из системного журнала в C:\backup\system0506.evtx:
Удалить все события из журнала приложений после их сохранения в C:\admin\backups\a10306.evtx: