今回は、wevtutil al。もちろんヘルプから。
C:\Users\takk\tmp>wevtutil al /?
ログ ファイルを自己完結形式で保管します。ロケールの名前を持つサブディレクトリが
作成され、すべてのロケール固有の情報がそのサブディレクトリに保存されます。
archive-log コマンドによって作成されたディレクトリがログ ファイルと共に存在
する場合、そのファイル内のイベントは、発行元がインストールされていない場合でも
表示できます。
使用法:
wevtutil { al | archive-log } <LOG_FILE> [/OPTION:VALUE [/OPTION:VALUE] ...]
<LOG_FILE>
保管されるログ ファイル。ログ ファイルは export-log コマンド
または clear-log コマンドを使用して生成できます。
オプション:
オプション名には、短いバージョン (/l) または長いバージョン (/locale) を
使用できます。オプションとその値は大文字と小文字が区別されません。
/{l | locale}:VALUE
VALUE は、特定のロケールにログを保管するためのロケール文字列です。指定しないと、
現在のコンソールのロケールが使用されます。サポートされているすべての
ロケール文字列については、MSDN の API の LocaleNameToLCID を参照してください。
C:\Users\takk\tmp>
指定するログはこちらを使います。
C:\Users\takk\tmp>dir
ドライブ C のボリューム ラベルがありません。
ボリューム シリアル番号は C4E9-35F2 です
C:\Users\takk\tmp のディレクトリ
2019/04/13 01:13 <DIR> .
2019/04/13 01:13 <DIR> ..
2019/04/13 01:13 21,041,152 log.evtx
1 個のファイル 21,041,152 バイト
2 個のディレクトリ 70,216,646,656 バイトの空き領域
C:\Users\takk\tmp>
では実行してみましょう。
C:\Users\takk\tmp>wevtutil al log.evtx ログ log.evtx を保管できませんでした。 ディレクトリ名が無効です。 C:\Users\takk\tmp>
なぜだか無効のようです。
ロケールを明示的に指定しないといけないのでしょうか。
C:\Users\takk\tmp>wevtutil al log.evtx /l:ja ログ log.evtx を保管できませんでした。 ディレクトリ名が無効です。 C:\Users\takk\tmp>
ううっ、無効ですと言われます。何が何だかわかりません。
深追いすると時間を浪費するので、いつか分かった時に記事を書き換えることにします。
コメント