今回は、wevtutil gliです。ヘルプから。
C:\Users\takk\tmp>wevtutil gli /?
イベント ログまたはログ ファイルの状態に関する情報を取得します。
使用法:
wevtutil { gli | get-loginfo } <LOG_NAME>
<LOG_NAME>
ログ名またはログ ファイル パス。オプション /If に true を指定した場合、
これはログ ファイル パスであり、ログ ファイルへのパスが必要です。
/lf が false の場合、これはログ名です。「wevtutil el」と入力すると、
ログ名の一覧を取得できます。
オプション:
短いバージョン (/If) または長いバージョン (/logfile) を使用できます。
オプションとその値は大文字小文字が区別されません。
/{lf | logfile}:[true|false]
ログ ファイルを作成するかどうかを指定します。true を指定した場合、
<LOG_NAME> はログ ファイルのパスです。
例:
wevtutil gli Application
C:\Users\takk\tmp>
使ってみます。
C:\Users\takk\tmp>wevtutil gli system creationTime: 2019-03-08T17:51:46.336Z lastAccessTime: 2019-04-12T17:16:09.407Z lastWriteTime: 2019-04-12T17:16:09.407Z fileSize: 20975616 attributes: 32 numberOfLogRecords: 20730 oldestRecordNumber: 5965 C:\Users\takk\tmp>
イベントログの情報ですね。
次は、ログファイルを指定してみます。
C:\Users\takk\tmp>wevtutil gli log.evtx ログ log.evtx のログ ステータス情報を読み取れませんでした。 指定したチャネルは見つかりませんでした。 C:\Users\takk\tmp>
ステータス情報が読めないってどういうことでしょうねえ。
/lf:trueを指定してみます。
C:\Users\takk\tmp>wevtutil gli /lf:true log.evtx creationTime: 2019-04-12T16:13:27.583Z lastAccessTime: 2019-04-12T17:58:55.073Z lastWriteTime: 2019-04-12T16:13:28.057Z fileSize: 21041152 attributes: 32 numberOfLogRecords: 20711 oldestRecordNumber: 1 C:\Users\takk\tmp>
表示されました。
コメント