今回は、wevtutil epl使います。
いつものようにヘルプから。
C:\Users\takk>wevtutil epl /?
ログ、ログ ファイル、または構造化クエリからファイルにイベントをエクスポート
します。
使用法:
wevtutil { epl | export-log } <PATH> <TARGETFILE>
[/OPTION:VALUE [/OPTION:VALUE] ...]
<PATH>
既定では、<PATH> にログ名を指定します。ただし、/lf オプションを使用する場合、
<PATH> 値にはログ ファイルへのパスを指定します。/sq パラメーターを
使用する場合、構造化クエリが格納されたファイルへのパスを指定します。
<TARGETFILE>
エクスポートしたイベントを格納するファイルへのパス。
オプション:
オプション名には、短いバージョン (/l) または長いバージョン (/locale) を
使用できます。オプションとその値は大文字と小文字が区別されません。
/{lf | logfile}:[true|false]
true を指定した場合、<PATH> はログ ファイルへのパスです。
/{sq | structuredquery}:[true|false]
true を指定した場合、<PATH> は構造化クエリが格納されたファイルへのパスです。
すべてのイベントを選択しなくても、多くのイベントを選択した場合、コマンドの
実行に長い時間がかかる場合があります。
/{q | query}:VALUE
VALUE は、エクスポートするイベントをフィルターするための XPath クエリです。
このオプションを指定しないと、すべてのイベントがエクスポートされます。
このオプションは /sq に true が指定されている場合には使用できません。
すべてのイベントを選択しなくても、多くのイベントを選択した場合、
コマンドの実行に長い時間がかかる場合があります。
/{ow | overwrite}:[true|false]
true で、<TARGETFILE> で指定した宛先ファイルが存在する場合は、ユーザーの
確認なしに宛先ファイルを上書きします。
例:
次の例では、イベントを System ログから C:\backup\system0506.evtx に
エクスポートします。
Wevtutil epl System C:\backup\system0506.evtx
C:\Users\takk>
さっそくエクスポートしたいと思います。
C:\Users\takk\tmp>wevtutil epl system log.evtx C:\Users\takk\tmp>
サイズを確認。
C:\Users\takk\tmp>dir
ドライブ C のボリューム ラベルがありません。
ボリューム シリアル番号は C4E9-35F2 です
C:\Users\takk\tmp のディレクトリ
2019/04/13 01:13 <DIR> .
2019/04/13 01:13 <DIR> ..
2019/04/13 01:13 21,041,152 log.evtx
1 個のファイル 21,041,152 バイト
2 個のディレクトリ 72,181,080,064 バイトの空き領域
C:\Users\takk\tmp>
最近再インストールしたばかりなのでサイズ小さいかなと思ってたんですが、21Mもありますね。
コメント