WevtUtil คืออะไรและใช้งานอย่างไร?

WevtUtil.exe เป็นยูทิลิตีบรรทัดคำสั่งในระบบปฏิบัติการ Windows ซึ่งใช้เพื่อลงทะเบียนผู้ให้บริการของคุณบนคอมพิวเตอร์เป็นหลัก เครื่องมือนี้อยู่ในโฟลเดอร์ %windir%\System32 คำสั่งนี้จำกัดเฉพาะสมาชิกของกลุ่มผู้ดูแลระบบ และต้องรันด้วยสิทธิ์ระดับสูง ในบทความนี้ เราจะพูดถึงวิธีการใช้เครื่องมือที่ฝังอยู่ในคอมพิวเตอร์ Windows 11 หรือ Windows 10

C System32 WevtUtil exe คืออะไร

กระบวนการที่เรียกว่า เหตุการณ์ของ Windows Command Line Utility มีอยู่ในระบบปฏิบัติการ Windows โดย Microsoft ไฟล์ wevtutil.exe อยู่ในโฟลเดอร์ C:\Windows\System32 ขนาดไฟล์ใน Windows 11/10 คือ 171,008 ไบต์ WevtUtil.exe เป็นไฟล์ระบบหลักของ Windows

WevtUtil คืออะไรและคุณใช้งานอย่างไร

คำสั่ง WevtUtil.exe ช่วยให้คุณสามารถดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่. คุณสามารถใช้คำสั่งเพื่อรับข้อมูลเมตาดาต้าเกี่ยวกับผู้ให้บริการ กิจกรรมของผู้ให้บริการ และช่องทางที่จะบันทึกเหตุการณ์ และเพื่อสอบถามกิจกรรมจากช่องหรือไฟล์บันทึก

ผู้ใช้พีซีสามารถเรียกใช้คำสั่ง WevtUtil สำหรับสิ่งต่อไปนี้:

ดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่ เก็บบันทึกในรูปแบบที่มีในตัว ระบุบันทึกที่มีอยู่ ติดตั้งและถอนการติดตั้งรายการเหตุการณ์ เรียกใช้การสืบค้น ส่งออกเหตุการณ์ (จากบันทึกเหตุการณ์ จากบันทึก หรือใช้การสืบค้นแบบมีโครงสร้าง) ไปยังไฟล์ที่ระบุ ล้างบันทึกเหตุการณ์

หากต้องการข้อมูลการใช้งาน ให้ป้อน wevtutil/? ที่พรอมต์คำสั่ง

การใช้คำสั่ง WevtUtil

มาดูการใช้งานพื้นฐานของคำสั่ง WevtUtil บนระบบ Windows 11/10 กัน

กด ปุ่ม Windows + R พิมพ์ cmd แล้วกด Enter เพื่อเปิด Command Prompt หรือเปิด Windows Terminal แล้วเลือกโปรไฟล์พร้อมรับคำสั่ง ในพรอมต์ CMD ให้เรียกใช้คำสั่งด้านล่างสำหรับงานที่เกี่ยวข้อง

หมายเหตุ: ตัวเลือกส่วนใหญ่สำหรับ WevtUtil ไม่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ แต่ความช่วยเหลือในตัวคือและ จะต้องร้องขอในกรณีบน ในการดึงข้อมูลบันทึกเหตุการณ์ PowerShell cmdlet Get-WinEvent จะใช้งานง่ายกว่าและยืดหยุ่นกว่า

แสดงรายการชื่อบันทึกทั้งหมด:wevtutil elแสดงข้อมูลการกำหนดค่าเกี่ยวกับบันทึกของระบบ ในเครื่องคอมพิวเตอร์ในรูปแบบ XML:wevtutil gl System/f:xmlใช้ไฟล์การกำหนดค่าเพื่อตั้งค่าแอตทริบิวต์บันทึกเหตุการณ์ (ดูตัวอย่างไฟล์การกำหนดค่าในหมายเหตุ):wevtutil sl/c:config.xmlแสดงข้อมูลเกี่ยวกับผู้เผยแพร่เหตุการณ์ Microsoft-Windows-Eventlog รวมถึงข้อมูลเมตาเกี่ยวกับเหตุการณ์ที่ผู้เผยแพร่สามารถเพิ่มได้:wevtutil gp Microsoft-Windows-Eventlog/ge:trueInstall ผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml:wevtutil im myManifest.xmlถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml:wevtutil um myManifest.xmlแสดงทั้งสาม เหตุการณ์ล่าสุดจากบันทึกแอปพลิเคชันในรูปแบบข้อความ:wevtutil qe Application/c:3/rd:true/f:t extแสดงสถานะของบันทึกแอปพลิเคชัน:wevtutil gli Applicationส่งออกเหตุการณ์จากบันทึกของระบบไปที่ C:\backup\system0506.evtx:wevtutil epl System C:\backup\system0506.evtxล้างเหตุการณ์ทั้งหมดจากบันทึกของแอปพลิเคชันหลังจากบันทึกไปที่ C:\admin\backups\a10306.evtx:wevtutil cl Application/bu:C:\admin\backups\a10306.evtxล้างเหตุการณ์ทั้งหมดจากบันทึกแอปพลิเคชัน:wevtutil clear-log Application@echo off สำหรับ/f”tokens=*”%%G ใน (‘wevtutil.exe el’) ทำ (wevtutil.exe cl”%%G”)ส่งออกเหตุการณ์จากบันทึกของระบบไปที่ C:\backup\ss64.evtx:wevtutil export-log System C:\backup\ss64.evtxแสดงรายการผู้เผยแพร่กิจกรรมบน คอมพิวเตอร์ปัจจุบัน:wevtutil enum-publishersถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์ Manifest SS64.man:wevtutil uninstall-manifest SS64.manเปิดใช้งานบันทึกเหตุการณ์สำหรับ Task Scheduler:wevtutil set-log”Microsoft-Windows-TaskScheduler/Operational”/e:true >null 2>&1แสดง 50 เหตุการณ์ล่าสุดจากบันทึกของแอปพลิเคชันในรูปแบบข้อความ:wevtutil qe Application/c:50/rd:true/f:textค้นหา เหตุการณ์เริ่มต้น 20 รายการล่าสุดในบันทึกของระบบ:wevtutil query-events System/count:20/rd:true/format:text/q:”Event[System[(EventID=12)]]”

The คำสั่ง WevtUtil.exe สามารถควบคุมได้เกือบทุกด้านของ Event Viewer และ Logs ซึ่งต้องใช้พารามิเตอร์และสวิตช์จำนวนมากเพื่อควบคุมรายละเอียดเหล่านี้ หากต้องการดูโครงสร้างหลักของไวยากรณ์สำหรับ WevtUtil.exe และเรียนรู้เพิ่มเติมเกี่ยวกับเครื่องมือดั้งเดิมนี้ โปรดดูที่ เอกสารประกอบของ Microsoft.

หวังว่าคุณจะพบว่าโพสต์นี้มีข้อมูลเพียงพอ!

ฉันจะใช้บันทึกของ Windows ได้อย่างไร

ในการเข้าถึง Event Viewer ใน Windows 11, Windows 10 และ Server ให้ทำดังนี้:

คลิกขวาที่ปุ่ม Start เลือก Control Panel > System & ความปลอดภัยดับเบิลคลิก เครื่องมือการดูแลระบบ ดับเบิลคลิก ตัวแสดงเหตุการณ์ เลือกประเภทของบันทึกที่คุณต้องการตรวจสอบ (เช่น แอปพลิเคชัน ระบบ)

บันทึกของระบบแสดงอะไร

ในคอมพิวเตอร์ที่ใช้ Windows 11/10 บันทึกของระบบ (Syslog) มีบันทึกเหตุการณ์ของระบบปฏิบัติการ (OS) ที่ระบุวิธีที่กระบวนการของระบบและไดรเวอร์ถูกโหลด. Syslog จะแสดงข้อมูล ข้อผิดพลาด และเหตุการณ์คำเตือนที่เกี่ยวข้องกับระบบปฏิบัติการของคอมพิวเตอร์

ฉันสามารถลบไฟล์บันทึกได้หรือไม่

โดยค่าเริ่มต้น DB จะไม่ลบไฟล์บันทึกสำหรับคุณ ด้วยเหตุผลนี้ ไฟล์บันทึกของ DB จะเติบโตขึ้นเพื่อใช้พื้นที่ดิสก์จำนวนมากโดยไม่จำเป็น เพื่อป้องกันสิ่งนี้ คุณควรดำเนินการดูแลระบบเป็นระยะเพื่อลบไฟล์บันทึกที่แอปพลิเคชันของคุณไม่ได้ใช้งานอีกต่อไป คุณสามารถลบไฟล์บันทึกระดับแอปพลิเคชันผ่าน มุมมองระบบ > คุณสมบัติของฐานข้อมูล > มุมมององค์กร ขยายประเภทแอปพลิเคชันการวางแผนและแอปพลิเคชันที่มีล็อกไฟล์ที่คุณต้องการลบ คลิกขวาที่แอปพลิเคชัน และเลือก ลบบันทึก