Cos'è WevtUtil e come si usa-

WevtUtil.exeè un'utilità a riga di comando nel sistema operativo Windows, usata principalmente per registrare il vostro Provider sul computer.Lo strumento è posto in%windir%\System32cartella.Questo comando è limitato ai membri del gruppo Administrators e deve essere eseguito con privilegi elevati.In questo post, discutiamo come utilizzare questo strumento integrato in Windows 11 o Windows 10.

Cos'è C System32 WevtUtil exe?

Il processo noto comeUtilità a riga di comando di Windows Eventsè nativo del sistema operativo Windows di Microsoft.Ilwevtutil.exesi trova nella cartella C\Windows\System32cartella.La dimensione del file su Windows 11/10 è di 171.008 byte.WevtUtil.exe è un file del sistema centrale di Windows.

Cos'è WevtUtil e come si usa?

IlWevtUtil.exepermette di recuperare informazioni sui log degli eventi e sui publisher.Puoi usare il comando per ottenere informazioni sui metadati del provider, i suoi eventi e i canali su cui registra gli eventi, e per interrogare gli eventi da un canale o da un file di log.

Gli utenti di PC possono eseguire ilWevtUtilper quanto segue:

• Recupera informazioni sui log degli eventi e sugli editori.
• Archivia i log in un formato autonomo.
• Enumera i registri disponibili.
• Installare e disinstallare manifesti di eventi.
• Eseguire query.
• Esporta gli eventi (da un registro eventi, da un file di registro, o usando una query strutturata) in un file specificato.
• Cancella i registri degli eventi.

Per informazioni sull'uso, inserirewevtutil /?in un prompt dei comandi.

Usare il comando WevtUtil

Diamo un'occhiata ad alcuni usi di base dell'elementoWevtUtilsul sistema Windows 11/10.

PremereTasto Windows + R, tipocmde premi Invio per aprire il Prompt dei comandi.In alternativa, aprite il Terminale di Windows e selezionate il profilo Prompt dei comandi.Nel prompt di CMD, esegui i comandi sottostanti per i compiti corrispondenti.

Nota: La maggior parte delle opzioni perWevtUtilnon sono sensibili alle maiuscole, ma l'aiuto integrato lo è e deve essere richiesto in MAIUSCOLO.Per recuperare i dati del registro eventi, il cmdlet PowerShellGet-WinEvent è più facile da usare e più flessibile.

• Elencare i nomi di tutti i registri:

wevtutil el

• Visualizza le informazioni di configurazione del registro di sistema sul computer locale in formato XML:

wevtutil gl System /f:xml

• Usare un file di configurazione per impostare gli attributi del registro eventi (vedere Remarks per un esempio di file di configurazione):

wevtutil sl /c:config.xml

• Visualizza informazioni sull'editore di eventi Microsoft-Windows-Eventlog, compresi i metadati sugli eventi che l'editore può sollevare:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

• Installare i publisher e i log dal file manifest myManifest.xml:

wevtutil im myManifest.xml

• Disinstalla i publisher e i log dal file manifest myManifest.xml:

wevtutil um myManifest.xml

• Visualizza i tre eventi più recenti del log dell'applicazione in formato testuale:

wevtutil qe Application /c:3 /rd:true /f:text

• Visualizzare lo stato del registro dell'applicazione:

wevtutil gli Applicazione

• Esportazione di eventi dal registro di sistema a C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

• Cancella tutti gli eventi dal log dell'applicazione dopo averli salvati in C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

• Cancella tutti gli eventi dal registro dell'applicazione:

wevtutil clear-log Applicazione

• Analizzare ogni registro degli eventi installato sul computer e cancellarli tuttipotete creare un file batch con la sintassi qui sotto ed eseguire il file .bat:

@echo off
per /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")

• Esportare eventi dal registro di sistema in C:\backup\ss64.evtx:

wevtutil export-log System C:\backup\ss64.evtx

• Elenca gli editori di eventi sul computer corrente:

wevtutil enum-publisher

• Disinstallare gli editori e i log dal file manifesto SS64.man:

wevtutil uninstall-manifest SS64.man

• Abilitare i registri degli eventi per il Task Scheduler:

wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1

• Visualizza i 50 eventi più recenti del log dell'applicazione in formato testo:

wevtutil qe Application /c:50 /rd:true /f:text

• Trova gli ultimi 20 eventi di avvio nel registro di sistema:

wevtutil query-events System /count:20 /rd:true /format:text /q: "Event[System[(EventID=12)]]"

IlWevtUtil.exepuò controllare quasi ogni aspetto del visualizzatore di eventi e dei registri, il che richiede molti parametri e interruttori per controllare questi dettagli.Per vedere la struttura principale della sintassi perWevtUtil.exee saperne di più su questo strumento nativo, controlla la documentazione Microsoft.

Spero che troviate questo post abbastanza informativo!

Come si usano i log di Windows?

Per accedere al Visualizzatore eventi in Windows 11, Windows 10 e Server, fai come segue:

• Cliccate con il tasto destro del mouse sul pulsante Start.
• SelezionaPannello di controllo>Sistema e sicurezza.
• Doppio clic suStrumenti amministrativi.
• Doppio clic suVisualizzatore di eventi.
• Seleziona il tipo di log che vuoi rivedere (es: Applicazione, Sistema).

Cosa mostrano i log di sistema?

Nel computer Windows 11/10, il registro di sistema (Syslog) contiene una registrazione degli eventi del sistema operativo (OS) che indica come sono stati caricati i processi di sistema e i driver.Il Syslog mostra eventi informativi, di errore e di avvertimento relativi al sistema operativo del computer.

Posso cancellare i file di log?

Per impostazione predefinita, DB non cancella i file di log per voi.Per questo motivo, i file di log di DB cresceranno fino a consumare una quantità inutilmente grande di spazio su disco.Per evitare questo, dovreste periodicamente intraprendere un'azione amministrativa per rimuovere i file di log che non sono più utilizzati dalla vostra applicazione.È possibile eliminare i file di log a livello di applicazione tramiteVista del sistema>Proprietà del database>Vista dell'impresa. Espandete il tipo di applicazione Planning e l'applicazione che contiene i file di log che volete eliminare.Fare clic con il tasto destro del mouse sull'applicazione e selezionareCancellare il registro.