wevtutilwevtutil

イベント ログおよびパブリッシャーに関する情報を取得できます。Enables you to retrieve information about event logs and publishers. また、このコマンドを使用して、イベント マニフェストのインストールとアンインストールも実行できます。その他、クエリの実行や、ログのエクスポート、アーカイブ、消去も実行できます。You can also use this command to install and uninstall event manifests, to run queries, and to export, archive, and clear logs. このコマンドを使用する方法の例については、を参照してください。For examples of how to use this command, see Examples.

構文Syntax

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]] 
[{ep | enum-publishers}] 
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]] 
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]] 
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]] 
[{al | archive-log} <Logpath> [/l:<Locale>]] 
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

パラメーターParameters

パラメーターParameter 説明Description
{el | enum ログ}{el | enum-logs} すべてのログの名前が表示されます。Displays the names of all logs.
{gl | get ログ} <Logname > [/f:<形式 >]{gl | get-log} <Logname> [/f:<Format>] ログが格納されているファイル、ログが有効か無効かどうかを含む、指定したログ、ログ、およびパスの現在の最大サイズ制限の構成情報が表示されます。Displays configuration information for the specified log, which includes whether the log is enabled or not, the current maximum size limit of the log, and the path to the file where the log is stored.
{sl|セットのログ} <Logname > [/e:<有効 >] [/操作<分離 >] [/lfn:<Logpath >] [/rt:<保有期間 >] [/ab:<自動 >] []、[ms:<MaxSize >] [/l:<レベル >] [/k:<キーワード >] [/ca:<チャネル >] [/c:<Config >]{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] 指定したログの構成を変更します。Modifies the configuration of the specified log.
{ep | enum パブリッシャー}{ep | enum-publishers} ローカル コンピューターのイベント発行元を表示します。Displays the event publishers on the local computer.
{gp | get パブリッシャー} <Publishername > [/ge:<メタデータ >] [/gm:<メッセージ >] [/f:<形式 >]{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 指定したイベント発行元の構成情報が表示されます。Displays the configuration information for the specified event publisher.
{im | install-manifest} <Manifest>{im | install-manifest} <Manifest> マニフェストからイベント発行元およびログをインストールします。Installs event publishers and logs from a manifest. イベント マニフェストと、このパラメーターを使用する方法の詳細については、Microsoft Developers Network (MSDN) の Web サイトで Windows イベント ログの SDK を参照してください (https://msdn.microsoft.com)。For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
{um | uninstall-manifest} <Manifest>{um | uninstall-manifest} <Manifest> マニフェストからのすべての発行元およびログをアンインストールします。Uninstalls all publishers and logs from a manifest. イベント マニフェストと、このパラメーターを使用する方法の詳細については、Microsoft Developers Network (MSDN) の Web サイトで Windows イベント ログの SDK を参照してください (https://msdn.microsoft.com)。For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
{qe|クエリ イベント}<パス > [/lf:<ログ ファイル >] [/%sq:<Structquery >] [/q:<クエリ >] [/bm:<ブックマーク >] [/sbm:<Savebm >] [/rd:<方向 >] [/f:<形式 >] [/l:<ロケール >] [/c:<数 >] [/e:<要素 >]{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] ログ ファイル、または構造化されたクエリを使用してから、イベント ログからイベントを読み取ります。Reads events from an event log, from a log file, or using a structured query. 既定では、ログの名前を指定する<パス >。By default, you provide a log name for <Path>. ただし、使用する場合、 /lfオプションし<パス > ログ ファイルへのパスにする必要があります。However, if you use the /lf option, then <Path> must be a path to a log file. 使用する場合、 /sqパラメーター、<パス > を構造化されたクエリを含むファイルへのパスにする必要があります。If you use the /sq parameter, <Path> must be a path to a file that contains a structured query.
{gli | get loginfo} <Logname > [/lf:<ログ ファイル >]{gli | get-loginfo} <Logname> [/lf:<Logfile>] イベント ログまたはログ ファイルに関するステータス情報を表示します。Displays status information about an event log or log file. 場合、 /lfオプションを使用すると、 <Logname > は、ログ ファイルのパスです。If the /lf option is used, <Logname> is a path to a log file. 実行することができますwevtutil elログ名の一覧を取得します。You can run wevtutil el to obtain a list of log names.
{epl|エクスポート ログ}<パス ><エクスポート ファイル > [/lf:<ログ ファイル >] [/%sq:<Structquery >] [/q:<クエリ >] [と:<上書き >]{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] ログ ファイル、または指定したファイルに構造化されたクエリを使用してから、イベント ログからイベントをエクスポートします。Exports events from an event log, from a log file, or using a structured query to the specified file. 既定では、ログの名前を指定する<パス >。By default, you provide a log name for <Path>. ただし、使用する場合、 /lfオプションし<パス > ログ ファイルへのパスにする必要があります。However, if you use the /lf option, then <Path> must be a path to a log file. 使用する場合、 /sqオプション、<パス > を構造化されたクエリを含むファイルへのパスにする必要があります。If you use the /sq option, <Path> must be a path to a file that contains a structured query. <エクスポート ファイル > エクスポートされたイベントが格納されるファイルへのパスします。<Exportfile> is a path to the file where the exported events will be stored.
{al|アーカイブ ログ} <Logpath > [/l:<ロケール >]{al | archive-log} <Logpath> [/l:<Locale>] 自己完結型の形式で指定されたログ ファイルをアーカイブします。Archives the specified log file in a self-contained format. ロケールの名前を持つサブディレクトリが作成され、すべてのロケール固有情報のサブディレクトリに保存されます。A subdirectory with the name of the locale is created and all locale-specific information is saved in that subdirectory. 実行して、ディレクトリとログ ファイルが作成された後wevtutil al、かどうか、パブリッシャーがインストールされているかどうか、ファイル内のイベントを読み取ることができます。After the directory and log file are created by running wevtutil al, events in the file can be read whether the publisher is installed or not.
{cl | clear-log} <Logname> [/bu:<Backup>]{cl | clear-log} <Logname> [/bu:<Backup>] 指定したイベント ログからイベントを消去します。Clears events from the specified event log. /Bu消去したイベントをバックアップするオプションを使用できます。The /bu option can be used to back up the cleared events.

オプションOptions

オプションOption 説明Description
/f:<形式 >/f:<Format> 出力は XML またはテキストのいずれかの形式である必要がありますを指定します。Specifies that the output should be either XML or text format. 場合<形式 > XML では、XML 形式で出力が表示されます。If <Format> is XML, the output is displayed in XML format. 場合<形式 > テキスト、XML タグのない出力が表示されます。If <Format> is Text, the output is displayed without XML tags. 既定値は Text です。The default is Text.
/e:<有効 >/e:<Enabled> 有効または、ログを無効にします。Enables or disables a log. <有効になっている > true または false にすることができます。<Enabled> can be true or false.
/i:<分離 >/i:<Isolation> ログの分離モードを設定します。Sets the log isolation mode. <分離 > システム、アプリケーションまたはカスタムことができます。<Isolation> can be system, application or custom. ログの分離モードでは、ログが同じ分離クラスでは、他のログとセッションを共有するかどうかを決定します。The isolation mode of a log determines whether a log shares a session with other logs in the same isolation class. システムの分離を指定する場合、ターゲットのログは共有には少なくとも、システム ログでのアクセス許可を記述します。If you specify system isolation, the target log will share at least write permissions with the System log. アプリケーションの分離を指定する場合、ターゲットのログは共有には少なくとも、アプリケーション ログでのアクセス許可を記述します。If you specify application isolation, the target log will share at least write permissions with the Application log. 使用してセキュリティ記述子を提供する必要がありますもカスタムの分離を指定する場合、 /caオプション。If you specify custom isolation, you must also provide a security descriptor by using the /ca option.
/lfn:<Logpath >/lfn:<Logpath> ログ ファイルの名前を定義します。Defines the log file name. <Logpath > は、イベント ログ サービスがこのログのイベントを格納するファイルへの完全パス。<Logpath> is a full path to the file where the Event Log service stores events for this log.
/rt:<保有 >/rt:<Retention> 保有期間のログ モードを設定します。Sets the log retention mode. <保有期間 > true または false にすることができます。<Retention> can be true or false. ログの保存モードは、ログが最大サイズに達したときに、イベント ログ サービスの動作を決定します。The log retention mode determines the behavior of the Event Log service when a log reaches its maximum size. イベント ログが最大サイズに達した場合、ログの保存モードが true、既存のイベントは保持され、受信イベントは破棄されます。If an event log reaches its maximum size and the log retention mode is true, existing events are retained and incoming events are discarded. ログの保存モードが false の場合、受信イベントは、ログ内の最も古いイベントを上書きします。If the log retention mode is false, incoming events overwrite the oldest events in the log.
/ab:<自動 >/ab:<Auto> ログの自動バックアップ ポリシーを指定します。Specifies the log auto-backup policy. <自動 > true または false にすることができます。<Auto> can be true or false. この値が true の場合、ログがバックアップに自動的に最大サイズに達したとき。If this value is true, the log will be backed up automatically when it reaches the maximum size. この値が true の場合、保有期間 (指定されている、 /rtオプション) も設定する必要がありますを true にします。If this value is true, the retention (specified with the /rt option) must also be set to true.
/ms:<MaxSize >/ms:<MaxSize> ログの最大サイズをバイト単位で設定します。Sets the maximum size of the log in bytes. 最小ログ サイズは 1048576 バイト (1024 KB) で、ログ ファイルは 64 KB の倍数では常に、値を入力するように切り捨てられますそれに応じて。The minimum log size is 1048576 bytes (1024KB) and log files are always multiples of 64KB, so the value you enter will be rounded off accordingly.
/l:<レベル >/l:<Level> ログのレベルのフィルターを定義します。Defines the level filter of the log. <レベル > 有効なレベル値を指定できます。<Level> can be any valid level value. このオプションでは、専用のセッションを使用してログ適用のみです。This option is only applicable to logs with a dedicated session. 設定して、レベルのフィルターを削除するを 0 にします。You can remove a level filter by setting to 0.
/k:<キーワード >/k:<Keywords> ログのキーワード フィルターを指定します。Specifies the keywords filter of the log. <キーワード > 有効な 64 ビット キーワード マスクを指定できます。<Keywords> can be any valid 64 bit keyword mask. このオプションでは、専用のセッションを使用してログ適用のみです。This option is only applicable to logs with a dedicated session.
/ca:<チャネル >/ca:<Channel> イベント ログのアクセス許可を設定します。Sets the access permission for an event log. <チャネル > セキュリティ記述子定義言語 (SDDL) を使用するセキュリティ記述子。<Channel> is a security descriptor that uses the Security Descriptor Definition Language (SDDL). SDDL 形式の詳細については、Microsoft Developers Network (MSDN) の Web サイトを参照してください (https://msdn.microsoft.com)。For more information about SDDL format, see the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
/c:<Config >/c:<Config> 構成ファイルへのパスを指定します。Specifies the path to a configuration file. このオプションは、ログのプロパティで定義されている構成ファイルから読み取る<Config >。This option will cause log properties to be read from the configuration file defined in <Config>. このオプションを使用するかどうか、指定しないで、パラメーター。If you use this option, you must not specify a parameter. ログ名については、構成ファイルから読み取ります。The log name will be read from the configuration file.
/ge:<メタデータ >/ge:<Metadata> この発行元によって発生されるイベントのメタデータ情報を取得します。Gets metadata information for events that can be raised by this publisher. <メタデータ > true または false にすることができます。<Metadata> can be true or false.
/gm:<メッセージ >/gm:<Message> 数値のメッセージ ID ではなく実際のメッセージが表示されます。Displays the actual message instead of the numeric message ID. <メッセージ > true または false にすることができます。<Message> can be true or false.
/lf:<ログ ファイル >/lf:<Logfile> イベントは、ログまたはログ ファイルから読み取る必要がありますを指定します。Specifies that the events should be read from a log or from a log file. <ログ ファイル > true または false にすることができます。<Logfile> can be true or false. True の場合は、ログ ファイルへのパスはパラメーターをコマンドです。If true, the parameter to the command is the path to a log file.
%sq/:<Structquery >/sq:<Structquery> イベントは、構造化されたクエリを使用して取得する必要がありますを指定します。Specifies that events should be obtained with a structured query. <Structquery > true または false にすることができます。<Structquery> can be true or false. True の場合、構造化されたクエリを含むファイルへのパスです。If true, is the path to a file that contains a structured query.
/q:<クエリ >/q:<Query> 読み取られた、またはエクスポートするイベントをフィルター処理する XPath クエリを定義します。Defines the XPath query to filter the events that are read or exported. このオプションが指定されていないすべてのイベントが返されるか、エクスポートします。If this option is not specified, all events will be returned or exported. ときにこのオプションは使用できません /sqは true。This option is not available when /sq is true.
/bm:<ブックマーク >/bm:<Bookmark> 前のクエリからのブックマークを含むファイルへのパスを指定します。Specifies the path to a file that contains a bookmark from a previous query.
/sbm:<Savebm >/sbm:<Savebm> このクエリのブックマークの保存に使用されるファイルへのパスを指定します。Specifies the path to a file that is used to save a bookmark of this query. ファイル名拡張子 .xml があります。The file name extension should be .xml.
/rd:<方向 >/rd:<Direction> イベントが読み取られる方向を指定します。Specifies the direction in which events are read. <方向 > true または false にすることができます。<Direction> can be true or false. True の場合、最新のイベントが最初に返されます。If true, the most recent events are returned first.
/l:<ロケール >/l:<Locale> 特定のロケールでのイベントのテキストを印刷に使用されるロケールの文字列を定義します。Defines a locale string that is used to print event text in a specific locale. テキスト形式を使用してイベントを印刷する場合にのみ使用可能な /fオプション。Only available when printing events in text format using the /f option.
/c:<数 >/c:<Count> 読み取るイベントの最大数を設定します。Sets the maximum number of events to read.
/e:<要素 >/e:<Element> XML でのイベントを表示するときに、ルート要素が含まれます。Includes a root element when displaying events in XML. <要素 > ルート要素内の文字列です。<Element> is the string that you want within the root element. たとえば、 /e:rootルート要素のペアを格納する XML になる<ルート >します。For example, /e:root would result in XML that contains the root element pair <root>.
:<上書き >/ow:<Overwrite> エクスポート ファイルが上書きされることを指定します。Specifies that the export file should be overwritten. <上書き > true または false にすることができます。<Overwrite> can be true or false. True の場合、およびエクスポート ファイルで指定する場合が既に存在する確認を求めずは上書きされます。If true, and the export file specified in already exists, it will be overwritten without confirmation.
/bu:<Backup>/bu:<Backup> 消去したイベントが格納されるファイルへのパスを指定します。Specifies the path to a file where the cleared events will be stored. バックアップ ファイルの名前、.evtx 拡張機能が含まれます。Include the .evtx extension in the name of the backup file.
/r:<リモート >/r:<Remote> リモート コンピューターでは、コマンドを実行します。Runs the command on a remote computer. <リモート > リモート コンピューターの名前を指定します。<Remote> is the name of the remote computer. Imumパラメーターでは、リモート操作はサポートされません。The im and um parameters do not support remote operation.
/u:<ユーザー名 >/u:<Username> リモート コンピューターにログオンする別のユーザーを指定します。Specifies a different user to log on to a remote computer. <ユーザー名 > は、フォーム ドメイン \ ユーザーまたはユーザーのユーザー名です。<Username> is a user name in the form domain\user or user. ときにこのオプションは適用のみ、 /rオプションを指定します。This option is only applicable when the /r option is specified.
/p:<パスワード >/p:<Password> ユーザーのパスワードを指定します。Specifies the password for the user. 場合、 /uオプションを使用して、このオプションが指定されていないまたは<パスワード > は" "、ユーザーがパスワードの入力を求められます。ときにこのオプションは適用のみ、 * */u *オプションを指定します。If the /u option is used and this option is not specified or <Password> is "", the user will be prompted to enter a password. This option is only applicable when the **/u* option is specified.
/a:<Auth >/a:<Auth> リモート コンピューターに接続するためには、認証の種類を定義します。Defines the authentication type for connecting to a remote computer. <Auth > 既定、Negotiate、Kerberos または NTLM を指定できます。<Auth> can be Default, Negotiate, Kerberos or NTLM. 既定値は、ネゴシエートします。The default is Negotiate.
/uni:<Unicode>/uni:<Unicode> Unicode で出力が表示されます。Displays the output in Unicode. <Unicode > true または false にすることができます。<Unicode> can be true or false. 場合が true の場合、出力は Unicode。If is true then the output is in Unicode.

注釈Remarks

  • Sl パラメーターで構成ファイルの使用Using a configuration file with the sl parameter

    構成ファイルは、wevtutil gl の出力と同じ形式で XML ファイル<Logname >/f:xml します。The configuration file is an XML file with the same format as the output of wevtutil gl <Logname> /f:xml. 次の例では、により、保有期間の自動バックアップを有効にし、アプリケーション ログでログの最大サイズを設定する構成ファイルの形式を示します。The following example shows the format of a configuration file that enables retention, enables autobackup, and sets the maximum log size on the Application log:

    <?xml version="1.0" encoding="UTF-8"?>
    <channel name="Application" isolation="Application"
    xmlns="https://schemas.microsoft.com/win/2004/08/events">
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

Examples

すべてのログの名前を一覧表示します。List the names of all logs:

wevtutil el

XML 形式で、ローカル コンピューター上のシステム ログの構成情報を表示します。Display configuration information about the System log on the local computer in XML format:

wevtutil gl System /f:xml

イベント ログの属性を設定する (構成ファイルの例については、「解説」を参照してください) には構成ファイルを使用します。Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):

wevtutil sl /c:config.xml

発行者が起こせるイベントに関するメタデータを含む Microsoft の Windows のイベント ログ、イベント発行元に関する情報を表示するには。Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

MyManifest.xml マニフェスト ファイルからの発行元およびログをインストールします。Install publishers and logs from the myManifest.xml manifest file:

wevtutil im myManifest.xml

MyManifest.xml マニフェスト ファイルからの発行元およびログをアンインストールします。Uninstall publishers and logs from the myManifest.xml manifest file:

wevtutil um myManifest.xml

テキスト形式では、アプリケーション ログから次の 3 つの最新のイベントを表示します。Display the three most recent events from the Application log in textual format:

wevtutil qe Application /c:3 /rd:true /f:text

アプリケーションのログの状態が表示されます。Display the status of the Application log:

wevtutil gli Application 

システム ログからイベントを C:\backup\system0506.evtx にエクスポートします。Export events from System log to C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

C:\admin\backups\a10306.evtx に保存した後のアプリケーション ログからイベントをすべてオフにします。Clear all of the events from the Application log after saving them to C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

その他の参照情報Additional References

コマンド ライン構文の記号Command-Line Syntax Key