[系统相关] 导出日志的命令wevtutil有问题，求修复

1078292299

网上看到了这样的命令：

快速查询特定日志：
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]"
保存特定日志：
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]">>d:\1.txt

我修改为：
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]"
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt

执行后并不能得到正确的结果，并且也不能直接导出单个ID如6006的日志，不知怎么办？

1078292299

wevtutil 命令的参数 /q 采用的是 XPath 查询方式，XPath 语法区分大小写。
WHY 发表于 2021-2-21 21:50

非常感谢，成功了。

WHY

wevtutil 命令的参数 /q 采用的是 XPath 查询方式，XPath 语法区分大小写。

wevtutil qe security /rd:true /f:text /q:"*[System[EventID=4624 or EventID=4672]]" > d:\1.txt
复制代码

xczxczxcz

win10  用get-eventlog

1078292299

回复 4# Batcher

按你说的改了，但结果仍然不正确。

Batcher

回复 3# 1078292299


>>d:\1.txt
改成
>d:\1.txt

1078292299

回复 2# Batcher

Win10 64位：
Microsoft Windows [版本 10.0.19041.264]

执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt  输出的结果ID全都不对。

执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005]">>d:\1.txt  无任何输出。

Batcher

回复 1# 1078292299


你在什么系统里面测试的呢，XP? Win7? Win10?
有啥报错信息吗？
命令得到的结果跟你的预期有何差异呢？