WEVTUtil 导出特定事件
WEVTUtil export certain event
我只想从安全性中导出事件 ID 4624
下面的代码从安全导出所有事件(我只想要 4624);
WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"
当导出所有 4624 个事件时,我只想过滤事件:
<Data Name='LogonProcessName'>User32 </Data>
这将是带有 IP 的 RDP 日志,因为登录 "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" 没有 IP(只有用户名):( 我听说这是因为 RDP 连接是受 TLS 保护的...
我只想从安全
导出Event ID 4624
WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"
您为 /q 选项使用了错误的格式。
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"
如何将过滤器限制为包含 User32 的 Event ID 4624?
When all 4624 events exported I want filter only events with:
<Data Name='LogonProcessName'>User32 </Data>
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"
代码基于以下来源link。
来源How to use wevtutil command to get event details if it only comply with specific text or word
进一步阅读
- An A-Z Index of the Windows CMD command line - 所有与 Windows cmd 行相关的内容的绝佳参考。
- findstr - 在文件中搜索字符串。
- wevutil - Windows 事件命令行实用程序。
我只想从安全性中导出事件 ID 4624
下面的代码从安全导出所有事件(我只想要 4624);
WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"
当导出所有 4624 个事件时,我只想过滤事件:
<Data Name='LogonProcessName'>User32 </Data>
这将是带有 IP 的 RDP 日志,因为登录 "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" 没有 IP(只有用户名):( 我听说这是因为 RDP 连接是受 TLS 保护的...
我只想从安全
导出Event ID 4624
WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"
您为 /q 选项使用了错误的格式。
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"
如何将过滤器限制为包含 User32 的 Event ID 4624?
When all 4624 events exported I want filter only events with:
<Data Name='LogonProcessName'>User32 </Data>
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"
代码基于以下来源link。
来源How to use wevtutil command to get event details if it only comply with specific text or word
进一步阅读
- An A-Z Index of the Windows CMD command line - 所有与 Windows cmd 行相关的内容的绝佳参考。
- findstr - 在文件中搜索字符串。
- wevutil - Windows 事件命令行实用程序。