[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
1078292299

Rank: 1

帖子
46 
积分
84 
技术
0  
捐助
0  
注册时间
2021-1-28 
1 跳转到 » 倒序看帖
打印
tT
发表于 2021-2-20 07:49 | 显示全部帖子

[系统相关] 导出日志的命令wevtutil有问题,求修复

网上看到了这样的命令:

快速查询特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]"
保存特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]">>d:\1.txt

我修改为:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]"
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt

执行后并不能得到正确的结果,并且也不能直接导出单个ID如6006的日志,不知怎么办?
收藏 分享

1078292299

Rank: 1

帖子
46 
积分
84 
技术
0  
捐助
0  
注册时间
2021-1-28 
2
发表于 2021-2-20 18:55 | 显示全部帖子
回复 2# Batcher

Win10 64位:
Microsoft Windows [版本 10.0.19041.264]

执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt  输出的结果ID全都不对。

执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005]">>d:\1.txt  无任何输出。

TOP

1078292299

Rank: 1

帖子
46 
积分
84 
技术
0  
捐助
0  
注册时间
2021-1-28 
3
发表于 2021-2-21 13:32 | 显示全部帖子
回复 4# Batcher

按你说的改了,但结果仍然不正确。

TOP

1078292299

Rank: 1

帖子
46 
积分
84 
技术
0  
捐助
0  
注册时间
2021-1-28 
4
发表于 2021-2-22 20:26 | 显示全部帖子
wevtutil 命令的参数 /q 采用的是 XPath 查询方式,XPath 语法区分大小写。
WHY 发表于 2021-2-21 21:50


非常感谢,成功了。

TOP

返回列表