Windowsコマンド(wevtutil qe)(その2)

イベントログのフィルタリングをしてみます。

C:\Users\takk>wevtutil qe system | findstr EventID.7001

7001はログインのイベントです。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Pr
ovider Name='Microsoft-Windows-Winlogon' Guid='{dbe9b383-7cf3-4331-91cc-a3cb16a3
b538}'/><EventID>7001</EventID><Version>0</Version><Level>4</Level><Task>1101</T
ask><Opcode>0</Opcode><Keywords>0x2000200000000000</Keywords><TimeCreated System
Time='2019-03-23T14:28:26.888286600Z'/><EventRecordID>20915</EventRecordID><Corr

~省略~

b538}'/><EventID>7001</EventID><Version>0</Version><Level>4</Level><Task>1101</T
ask><Opcode>0</Opcode><Keywords>0x2000200000000000</Keywords><TimeCreated System
Time='2019-04-06T16:32:24.899058500Z'/><EventRecordID>26331</EventRecordID><Corr
elation/><Execution ProcessID='640' ThreadID='372'/><Channel>System</Channel><Co
mputer>DESKTOP-GQ56KQL</Computer><Security UserID='S-1-5-18'/></System><EventDat
a><Data Name='TSId'>1</Data><Data Name='UserSid'>S-1-5-21-3867154226-581149106-3
366728556-1001</Data></EventData></Event>

ログ多すぎたので、ログ数えます。

C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl wc -l
13

C:\Users\takk>

13個ですね。

SystemTimeだけ抽出してみます。

C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl sed 's/^.*SystemTime..\(..........\).*$/\1/'
2019-03-23
2019-03-24
2019-03-25
2019-03-26
2019-03-28
2019-03-28
2019-03-30
2019-03-30
2019-04-01
2019-04-02
2019-04-03
2019-04-05
2019-04-06

C:\Users\takk>

ログインした日付ですね。時間も抽出してみます。

C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl sed 's/^.*SystemTime..\(..........T........\).*$/\1/'
2019-03-23T14:28:26
2019-03-24T16:21:58
2019-03-25T15:39:18
2019-03-26T15:51:52
2019-03-28T10:36:04
2019-03-28T16:28:25
2019-03-30T00:42:01
2019-03-30T12:53:05
2019-04-01T17:56:58
2019-04-02T15:48:20
2019-04-03T16:23:23
2019-04-05T15:38:45
2019-04-06T16:32:24

C:\Users\takk>

ログインした時刻もコマンドからさくっと見れますね。

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA