继win7后命令行读取日志
一、wevtutil
win7版本以上自带日志查询工具。
例:
1.查询最新的三条安全日志
wevtutil qe Security /c:3 /f:text /sq:true
2.查询安全日志中事件ID为4624的最近3条
wevtutil qe Security /c:3 /f:text /sq:true /q:”*[System[(EventID=4624)]]”
/c:3 为查询条目数量
/f:text 为文本样式
/sq:true 为最新日志
由于wevtutil 参数众多,很多详细查询对于一部分来说比较困难,可以进行如下操作
手动打开自己win7的事件查看器
右键点击要查询的日志—筛选当前日志。如图:
进行设置。记得不要点确定哦。
设置完后点击 XML 选项
复制脚本到一个文本内保存。
将该文本上传至要查询的服务器上。
执行一下命令:
wevtutil qe c:\Query.txt /f:text
如此配合参数,可进行更多详细查询。
二、PSloglist (PStools 内附带)
PSloglist.exe Security -i 4624 查询安全日志中事件ID为4624的日志,详细查询自己看参数吧
评论关闭。