批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程
[批处理文件精品]批处理版照片整理器[批处理文件精品]纯批处理备份&还原驱动在线第三方下载
返回列表 发帖

[系统相关] 导出日志的命令wevtutil有问题,求修复

网上看到了这样的命令:

快速查询特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]"
保存特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]">>d:\1.txt

我修改为:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]"
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt

执行后并不能得到正确的结果,并且也不能直接导出单个ID如6006的日志,不知怎么办?

回复 1# 1078292299


你在什么系统里面测试的呢,XP? Win7? Win10?
有啥报错信息吗?
命令得到的结果跟你的预期有何差异呢?
【批处理在线视频分享】http://bbs.bathome.net/thread-31727-1-1.html
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html

我帮忙写的代码不需要付钱,不用找我要支付宝或微信账号。如果一定要给,请到微信群给大家发红吧。

TOP

回复 2# Batcher

Win10 64位:
Microsoft Windows [版本 10.0.19041.264]

执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt  输出的结果ID全都不对。


执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005]">>d:\1.txt  无任何输出。
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

回复 3# 1078292299


>>d:\1.txt
改成
>d:\1.txt
【批处理在线视频分享】http://bbs.bathome.net/thread-31727-1-1.html
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html

我帮忙写的代码不需要付钱,不用找我要支付宝或微信账号。如果一定要给,请到微信群给大家发红吧。

TOP

回复 4# Batcher

按你说的改了,但结果仍然不正确。

TOP

win10  用get-eventlog
QQ: 458609586
脚本默认优先 [PowerShell]

TOP

wevtutil 命令的参数 /q 采用的是 XPath 查询方式,XPath 语法区分大小写。
  1. wevtutil qe security /rd:true /f:text /q:"*[System[EventID=4624 or EventID=4672]]" > d:\1.txt
复制代码

TOP

wevtutil 命令的参数 /q 采用的是 XPath 查询方式,XPath 语法区分大小写。
WHY 发表于 2021-2-21 21:50


非常感谢,成功了。

TOP

返回列表