Windowsコマンド(wevtutil epl)

今回は、wevtutil epl使います。
いつものようにヘルプから。

C:\Users\takk>wevtutil epl /?
ログ、ログ ファイル、または構造化クエリからファイルにイベントをエクスポート
します。

使用法:

wevtutil { epl | export-log } <PATH> <TARGETFILE>
  [/OPTION:VALUE [/OPTION:VALUE] ...]

<PATH>
既定では、<PATH> にログ名を指定します。ただし、/lf オプションを使用する場合、
<PATH> 値にはログ ファイルへのパスを指定します。/sq パラメーターを
使用する場合、構造化クエリが格納されたファイルへのパスを指定します。

<TARGETFILE>
エクスポートしたイベントを格納するファイルへのパス。

オプション:

オプション名には、短いバージョン (/l) または長いバージョン (/locale) を
使用できます。オプションとその値は大文字と小文字が区別されません。

/{lf | logfile}:[true|false]
true を指定した場合、<PATH> はログ ファイルへのパスです。

/{sq | structuredquery}:[true|false]
true を指定した場合、<PATH> は構造化クエリが格納されたファイルへのパスです。
すべてのイベントを選択しなくても、多くのイベントを選択した場合、コマンドの
実行に長い時間がかかる場合があります。

/{q | query}:VALUE
VALUE は、エクスポートするイベントをフィルターするための XPath クエリです。
このオプションを指定しないと、すべてのイベントがエクスポートされます。
このオプションは /sq に true が指定されている場合には使用できません。
すべてのイベントを選択しなくても、多くのイベントを選択した場合、
コマンドの実行に長い時間がかかる場合があります。

/{ow | overwrite}:[true|false]
true で、<TARGETFILE> で指定した宛先ファイルが存在する場合は、ユーザーの
確認なしに宛先ファイルを上書きします。


例:

次の例では、イベントを System ログから C:\backup\system0506.evtx に
エクスポートします。

Wevtutil epl System C:\backup\system0506.evtx

C:\Users\takk>

さっそくエクスポートしたいと思います。

C:\Users\takk\tmp>wevtutil epl system log.evtx

C:\Users\takk\tmp>

サイズを確認。

C:\Users\takk\tmp>dir
 ドライブ C のボリューム ラベルがありません。
 ボリューム シリアル番号は C4E9-35F2 です

 C:\Users\takk\tmp のディレクトリ

2019/04/13  01:13    <DIR>          .
2019/04/13  01:13    <DIR>          ..
2019/04/13  01:13        21,041,152 log.evtx
               1 個のファイル          21,041,152 バイト
               2 個のディレクトリ  72,181,080,064 バイトの空き領域

C:\Users\takk\tmp>

最近再インストールしたばかりなのでサイズ小さいかなと思ってたんですが、21Mもありますね。

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA