WevtUtil.exe è un’utilità della riga di comando nel sistema operativo Windows, utilizzata principalmente per registrare il provider sul computer. Lo strumento si trova nella cartella %windir%\System32. Questo comando è limitato ai membri del gruppo Administrators e deve essere eseguito con privilegi elevati. In questo post, discutiamo di come utilizzare questo strumento integrato nei computer Windows 11 o Windows 10.
Cos’è C System32 WevtUtil exe?
Il processo noto come Eventi di Windows Command Line Utility è nativa per il sistema operativo Windows di Microsoft. Il file wevtutil.exe si trova nella cartella C:\Windows\System32. La dimensione del file su Windows 11/10 è 171.008 byte. WevtUtil.exe è un file di sistema di base di Windows.
Cos’è WevtUtil e come lo si utilizza?
Il comando WevtUtil.exe consente di recuperare informazioni sui registri eventi e sui publisher. È possibile utilizzare il comando per ottenere informazioni sui metadati sul provider, sui suoi eventi e sui canali in cui registra gli eventi e per eseguire query sugli eventi da un canale o da un file di registro.
Gli utenti di PC possono eseguire il comando WevtUtil per quanto segue:
Recuperare informazioni sui registri eventi e sui publisher.Archivia i registri in un formato autonomo.Enumera i registri disponibili.Installa e disinstalla i manifesti degli eventi.Esegui query.Esporta gli eventi (da un registro eventi, da un registro file o utilizzando una query strutturata) in un file specificato.Cancella i registri eventi.
Per informazioni sull’utilizzo, immettere wevtutil/? al prompt dei comandi.
Utilizzo del comando WevtUtil
Diamo un’occhiata ad alcuni utilizzi di base del comando WevtUtil sul sistema Windows 11/10.
Premere Tasto Windows + R, digita cmd e premi Invio per aprire il prompt dei comandi. In alternativa, apri Terminale di Windows e seleziona il profilo del prompt dei comandi. Nel prompt CMD, esegui i comandi seguenti per le attività corrispondenti.
Nota: la maggior parte delle opzioni per WevtUtil non fa distinzione tra maiuscole e minuscole, ma la guida integrata è e deve essere richiesto in MAIUSCOLO. Per recuperare i dati del registro eventi, il cmdlet di PowerShell Get-WinEvent è più facile da usare e più flessibile.
Elenca i nomi di tutti i registri:wevtutil elVisualizza le informazioni di configurazione sul registro di sistema sul computer locale in formato XML:wevtutil gl System/f:xmlUtilizza un file di configurazione per impostare gli attributi del registro eventi (vedi Osservazioni per un esempio di file di configurazione):wevtutil sl/c:config.xmlVisualizza le informazioni sull’editore di eventi Microsoft-Windows-Eventlog, inclusi i metadati sugli eventi che l’editore può generare:wevtutil gp Microsoft-Windows-Eventlog/ge:trueInstalla publisher e log dal file manifest myManifest.xml:wevtutil im myManifest.xmlDisinstalla publisher e log dal file manifest myManifest.xml:wevtutil um myManifest.xmlVisualizza i tre eventi più recenti dal registro dell’applicazione in formato testuale:wevtutil qe Application/c:3/rd:true/f:t extVisualizza lo stato del registro dell’applicazione:wevtutil gli ApplicationEsporta gli eventi dal registro di sistema a C:\backup\system0506.evtx:wevtutil epl System C:\backup\system0506.evtxCancella tutti gli eventi dal registro dell’applicazione dopo averli salvati in C:\admin\backups\a10306.evtx:wevtutil cl Application/bu:C:\admin\backups\a10306.evtxCancella tutti gli eventi dal registro dell’applicazione:wevtutil clear-log Application@echo off for/f”tokens=*”%%G in (‘wevtutil.exe el’) do (wevtutil.exe cl”%%G”)Esporta gli eventi dal Registro di sistema in C:\backup\ss64.evtx:wevtutil export-log System C:\backup\ss64.evtxElenca gli editori di eventi nel computer corrente:wevtutil enum-publishersDisinstalla editori e log dal file manifest SS64.man:wevtutil uninstall-manifest SS64.manAbilita i log eventi per l’Utilità di pianificazione >:wevtutil set-log”Microsoft-Windows-TaskScheduler/Operational”/e:true >null 2>&1Visualizza i 50 eventi più recenti dal registro dell’applicazione in formato testo:wevtutil qe Applicazione/c:50/rd:true/f:textTrova il ultimi 20 eventi di avvio nel registro di sistema:wevtutil query-events System/count:20/rd:true/format:text/q:”Event[System[(EventID=12)]]”
The Il comando WevtUtil.exe può controllare quasi ogni aspetto del Visualizzatore eventi e dei registri che richiede molti parametri e opzioni per controllare questi dettagli. Per vedere la struttura principale della sintassi per WevtUtil.exe e saperne di più su questo strumento nativo, consulta il Documentazione Microsoft.
Spero che questo post sia sufficientemente informativo!
Come si utilizzano i log di Windows?
Per accedere al Visualizzatore eventi in Windows 11, Windows 10 e Server, procedi come segue:
Fai clic con il pulsante destro del mouse sul pulsante Start.Seleziona Pannello di controllo > Sistema e Sicurezza.Fai doppio clic su Strumenti di amministrazione.Fai doppio clic su Visualizzatore eventi.Seleziona il tipo di log che desideri esaminare (es: Applicazione, Sistema).
Cosa mostrano i registri di sistema?
Nei computer Windows 11/10, il registro di sistema (Syslog) contiene un record degli eventi del sistema operativo (OS) che indica come sono stati caricati i processi di sistema e i driver. Il Syslog mostra gli eventi informativi, di errore e di avviso relativi al sistema operativo del computer.
Posso eliminare i file di registro?
Per impostazione predefinita, DB non elimina i file di registro per te. Per questo motivo, i file di registro di DB alla fine aumenteranno fino a consumare una quantità inutilmente grande di spazio su disco. Per evitare ciò, è necessario intraprendere periodicamente un’azione amministrativa per rimuovere i file di registro che non sono più utilizzati dall’applicazione. Puoi eliminare i file di registro a livello di applicazione tramite Vista sistema > Proprietà database > Vista Enterprise. Espandere il tipo di applicazione Planning e l’applicazione che contiene i file di registro che si desidera eliminare. Fare clic con il pulsante destro del mouse sull’applicazione e selezionare Elimina registro.
