Was ist WevtUtil und wie verwenden Sie es-

WevtUtil.exeist ein Befehlszeilendienstprogramm des Windows-Betriebssystems, das in erster Linie dazu dient, Ihren Provider auf dem Computer zu registrieren.Das Werkzeug wird in%windir%\System32Ordner.Dieser Befehl ist auf Mitglieder der Gruppe „Administratoren“ beschränkt und muss mit erhöhten Rechten ausgeführt werden.In diesem Beitrag erfahren Sie, wie Sie dieses eingebaute Tool in Windows 11 oder Windows 10 verwenden können.

Was ist C System32 WevtUtil exe?

Der Prozess, der alsWindows Events Befehlszeilen-Dienstprogrammist ein fester Bestandteil des Windows-Betriebssystems von Microsoft.Diewevtutil.exeDatei befindet sich im Verzeichnis C\Windows\System32Ordner.Die Dateigröße unter Windows 11/10 beträgt 171.008 Byte.Die Datei WevtUtil.exe ist eine Windows System Datei.

Was ist WevtUtil und wie verwenden Sie es?

DieWevtUtil.exekönnen Sie Informationen zu Ereignisprotokollen und Publishern abrufen.Sie können den Befehl verwenden, um Metadateninformationen über den Anbieter, seine Ereignisse und die Kanäle, in denen er Ereignisse protokolliert, abzurufen und Ereignisse aus einem Kanal oder einer Protokolldatei abzufragen.

PC-Benutzer können dieWevtUtilBefehl für Folgendes:

• Abrufen von Informationen über Ereignisprotokolle und Verlage.
• Archivieren Sie Protokolle in einem in sich geschlossenen Format.
• Auflistung der verfügbaren Protokolle.
• Ereignis-Manifeste installieren und deinstallieren.
• Abfragen ausführen.
• Exportiert Ereignisse (aus einem Ereignisprotokoll, aus einer Protokolldatei oder über eine strukturierte Abfrage) in eine angegebene Datei.
• Ereignisprotokolle löschen.

Für Nutzungsinformationen geben Sie einwevtutil /?an einer Eingabeaufforderung.

Verwendung des Befehls WevtUtil

Werfen wir einen Blick auf einige grundlegende Verwendungsmöglichkeiten derWevtUtilauf dem System Windows 11/10.

PresseWindows-Taste + R, Typcmdund drücken Sie die Eingabetaste, um die Eingabeaufforderung zu öffnen.Alternativ können Sie auch das Windows-Terminal öffnen und das Profil Eingabeaufforderung auswählen.Führen Sie in der CMD-Eingabeaufforderung die folgenden Befehle für die entsprechende(n) Aufgabe(n) aus.

Hinweis: Die meisten Optionen fürWevtUtilunterscheiden nicht zwischen Groß- und Kleinschreibung, aber die eingebaute Hilfe ist es und muss in Großbuchstaben angefordert werden.Um Ereignisprotokolldaten abzurufen, wird das PowerShell-CmdletGet-WinEvent ist einfacher zu handhaben und flexibler.

• Liste der Namen aller Protokolle:

wevtutil el

• Anzeige von Konfigurationsinformationen über das Systemprotokoll auf dem lokalen Computer im XML-Format:

wevtutil gl System /f:xml

• Verwenden Sie eine Konfigurationsdatei, um die Attribute des Ereignisprotokolls festzulegen (siehe Bemerkungen für ein Beispiel einer Konfigurationsdatei):

wevtutil sl /c:config.xml

• Anzeigen von Informationen über den Microsoft-Windows-Eventlog-Ereignisverleger, einschließlich Metadaten über die Ereignisse, die der Verleger auslösen kann:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

• Installation von Verlagen und Protokollen aus der Manifestdatei myManifest.xml:

wevtutil im myManifest.xml

• Deinstallation von Verlagen und Protokollen aus der Manifestdatei myManifest.xml:

wevtutil um myManifest.xml

• Anzeige der drei jüngsten Ereignisse aus dem Anwendungsprotokoll im Textformat:

wevtutil qe Anwendung /c:3 /rd:true /f:text

• Anzeige des Status des Anwendungsprotokolls:

wevtutil gli Anwendung

• Ereignisse aus dem Systemprotokoll nach C:\backup\system0506.evtx exportieren:

wevtutil epl System C:\backup\system0506.evtx

• Löschen Sie alle Ereignisse aus dem Anwendungsprotokoll, nachdem Sie sie in C:\admin\backups\a10306.evtx gespeichert haben.:

wevtutil cl Anwendung /bu:C:\admin\backups\a10306.evtx

• Alle Ereignisse aus dem Anwendungsprotokoll löschen:

wevtutil clear-log Anwendung

• Analysieren Sie alle auf dem Computer installierten Ereignisprotokolle und löschen Sie sie allekönnen Sie eine Batch-Datei mit der folgenden Syntax erstellen und die .bat-Datei ausführen:

@echo off
for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")

• Ereignisse aus dem Systemprotokoll nach C:\backup\ss64.evtx exportieren:

wevtutil export-log System C:\backup\ss64.evtx

• Auflistung der Ereignisveröffentlicher auf dem aktuellen Computer:

wevtutil enum-publishers

• Deinstallation von Publishern und Protokollen aus der Manifestdatei SS64.man:

wevtutil deinstallieren-manifestieren SS64.man

• Aktivieren von Ereignisprotokollen für den Taskplaner:

wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1

• Anzeige der 50 jüngsten Ereignisse aus dem Anwendungsprotokoll im Textformat:

wevtutil qe Anwendung /c:50 /rd:true /f:text

• Suchen Sie die letzten 20 Startup-Ereignisse im Systemprotokoll:

wevtutil query-events System /count:20 /rd:true /format:text /q: "Event[System[(EventID=12)]]"

DieWevtUtil.exeBefehl kann fast jeden Aspekt der Ereignisanzeige und der Protokolle steuern, was eine Menge Parameter und Schalter erfordert, um diese Details zu steuern.Um die Hauptstruktur der Syntax fürWevtUtil.exeund mehr über dieses native Tool erfahren möchten, lesen Sie die Microsoft-Dokumentation.

Ich hoffe, Sie finden diesen Beitrag informativ genug!

Wie verwende ich Windows-Protokolle?

Um auf die Ereignisanzeige in Windows 11, Windows 10 und Server zuzugreifen, gehen Sie wie folgt vor:

• Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start.
• Wählen SieBedienfeld>System & Sicherheit.
• Doppelklicken Sie auf .Administrative Instrumente.
• Doppelklicken Sie auf .Ereignisbetrachter.
• Wählen Sie die Art der Protokolle, die Sie überprüfen möchten (z. B. Anwendung, System).

Was zeigen die Systemprotokolle?

In Windows 11/10-Computern enthält das Systemprotokoll (Syslog) eine Aufzeichnung der Ereignisse des Betriebssystems (OS), die angibt, wie die Systemprozesse und Treiber geladen wurden.Das Syslog zeigt Informations-, Fehler- und Warnereignisse im Zusammenhang mit dem Betriebssystem des Computers an.

Kann ich Protokolldateien löschen?

Standardmäßig löscht die DB keine Protokolldateien für Sie.Aus diesem Grund werden die DB-Protokolldateien mit der Zeit einen unnötig großen Speicherplatz beanspruchen.Um dies zu verhindern, sollten Sie regelmäßig administrative Maßnahmen ergreifen, um Protokolldateien zu entfernen, die von Ihrer Anwendung nicht mehr verwendet werden.Sie können Protokolldateien auf Anwendungsebene löschen überSystem-Ansicht>Datenbank-Eigenschaften>Unternehmensansicht. Erweitern Sie den Planungsanwendungstyp und die Anwendung, die die zu löschenden Protokolldateien enthält.Klicken Sie mit der rechten Maustaste auf die Anwendung, und wählen SieProtokoll löschen.