Windowsコマンド(wevtutil al)

今回は、wevtutil al。もちろんヘルプから。

C:\Users\takk\tmp>wevtutil al /?
ログ ファイルを自己完結形式で保管します。ロケールの名前を持つサブディレクトリが
作成され、すべてのロケール固有の情報がそのサブディレクトリに保存されます。
archive-log コマンドによって作成されたディレクトリがログ ファイルと共に存在
する場合、そのファイル内のイベントは、発行元がインストールされていない場合でも
表示できます。

使用法:

wevtutil { al | archive-log } <LOG_FILE> [/OPTION:VALUE [/OPTION:VALUE] ...]

<LOG_FILE>
保管されるログ ファイル。ログ ファイルは export-log コマンド
または clear-log コマンドを使用して生成できます。

オプション:

オプション名には、短いバージョン (/l) または長いバージョン (/locale) を
使用できます。オプションとその値は大文字と小文字が区別されません。

/{l | locale}:VALUE
VALUE は、特定のロケールにログを保管するためのロケール文字列です。指定しないと、
現在のコンソールのロケールが使用されます。サポートされているすべての
ロケール文字列については、MSDN の API の LocaleNameToLCID を参照してください。

C:\Users\takk\tmp>

指定するログはこちらを使います。

C:\Users\takk\tmp>dir
 ドライブ C のボリューム ラベルがありません。
 ボリューム シリアル番号は C4E9-35F2 です

 C:\Users\takk\tmp のディレクトリ

2019/04/13  01:13    <DIR>          .
2019/04/13  01:13    <DIR>          ..
2019/04/13  01:13        21,041,152 log.evtx
               1 個のファイル          21,041,152 バイト
               2 個のディレクトリ  70,216,646,656 バイトの空き領域

C:\Users\takk\tmp>

では実行してみましょう。

C:\Users\takk\tmp>wevtutil al log.evtx
ログ log.evtx を保管できませんでした。
ディレクトリ名が無効です。

C:\Users\takk\tmp>

なぜだか無効のようです。

ロケールを明示的に指定しないといけないのでしょうか。

C:\Users\takk\tmp>wevtutil al log.evtx /l:ja
ログ log.evtx を保管できませんでした。
ディレクトリ名が無効です。

C:\Users\takk\tmp>

ううっ、無効ですと言われます。何が何だかわかりません。
深追いすると時間を浪費するので、いつか分かった時に記事を書き換えることにします。

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA