Przejdź do głównej zawartości
Komendy

wevtutil

Komenda wevtutil umożliwia zarządzanie dziennikami zdarzeń systemu (Windows Event Logs). Pozwala administratorom tworzyć, usuwać, konfigurować i eksportować dzienniki zdarzeń oraz wykonywać zapytania i czyszczenie logów, co jest przydatne w diagnostyce i audycie systemów.

Składnia

Dział zatytułowany „Składnia”
wevtutil el
wevtutil gl <nazwa_dziennika>
wevtutil cl <nazwa_dziennika>
wevtutil qe <nazwa_dziennika> [/q:<zapytanie>] [/f:text|xml] [/c:<liczba>]
wevtutil epl <nazwa_dziennika> <plik.evtx>

Parametry

Dział zatytułowany „Parametry”
ParametrOpis
elWyświetla listę wszystkich dostępnych dzienników zdarzeń w systemie.
gl <nazwa_dziennika>Wyświetla właściwości i konfigurację wybranego dziennika zdarzeń.
cl <nazwa_dziennika>Czyści wskazany dziennik zdarzeń.
qe <nazwa_dziennika>Wykonuje zapytanie (query) w określonym dzienniku, z opcją filtrowania (XPath) i wyboru formatu wyniku.
/q:<zapytanie>Definiuje filtr zapytania (XPath) dla wyszukania konkretnych zdarzeń.
`/f:textxml`Określa format wyświetlanych wyników: tekstowy lub XML.
/c:<liczba>Ogranicza liczbę zdarzeń zwróconych przez zapytanie.
epl <nazwa_dziennika> <plik.evtx>Eksportuje cały dziennik zdarzeń do pliku .evtx w celu archiwizacji lub przeniesienia.
/?Wyświetla pomoc i pełną listę dostępnych opcji.

Przykłady użycia

Dział zatytułowany „Przykłady użycia”
Okno terminala
# Wyświetlenie listy wszystkich dzienników zdarzeń
wevtutil el


# Wyświetlenie konfiguracji dziennika „System”
wevtutil gl System


# Wykonanie zapytania w dzienniku „Application” i wyświetlenie 10 ostatnich zdarzeń w formacie tekstowym
wevtutil qe Application /c:10 /f:text


# Eksport dziennika „Security” do pliku C:\Logi\security.evtx
wevtutil epl Security C:\Logi\security.evtx

Uwagi

Dział zatytułowany „Uwagi”
  • Wymaga uruchomienia z uprawnieniami administratora przy pracy z dziennikami systemowymi i zabezpieczeń.
  • Umożliwia filtrowanie zdarzeń za pomocą zapytań XPath, co pozwala na precyzyjną analizę danych.
  • Może być używana w skryptach do automatyzacji monitorowania i archiwizacji logów systemowych.

Najczęściej spotykane błędy i jak je naprawić

Dział zatytułowany „Najczęściej spotykane błędy i jak je naprawić”
Błąd / KomunikatPrzyczynaRozwiązanie
Access is deniedBrak uruchomienia jako administrator przy dostępie do chronionych dzienników.Uruchom CMD jako administrator.
The specified channel could not be foundPodana nazwa dziennika jest niepoprawna lub nie istnieje w systemie.Sprawdź listę dzienników (wevtutil el) i użyj poprawnej nazwy.
Invalid querySkładnia zapytania XPath jest błędna.Zweryfikuj składnię zapytania lub przetestuj je w Podglądzie zdarzeń (Event Viewer).