今回も引き続きwevtutil qeです。
wevtutilコマンドは、今まで学習してきたWindowsコマンドの中では一番使うことが多そうです。
前回までは、出力されたxmlをフィルタリングしていましたが、今回はテキスト出力してみます。
ログオン情報を最新から1個抽出。
C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001]]" /c:1 Event[0]: Log Name: System Source: Microsoft-Windows-Winlogon Date: 2019-03-23T23:28:26.888 Event ID: 7001 Task: N/A Level: 情報 Opcode: 情報 Keyword: N/A User: S-1-5-18 User Name: NT AUTHORITY\SYSTEM Computer: DESKTOP-GQ56KQL Description: カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知 C:\Users\takk>
/f:textを指定すると、xmlではなくテキスト形式で出力します。
/c:で抽出数を指定
/q:は、抽出条件をXPathクエリで指定します。
では、全ログオン時間を抽出。
C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001]]" | findstr Date
実行結果です。
Date: 2019-03-23T23:28:26.888 Date: 2019-03-25T01:21:58.576 Date: 2019-03-26T00:39:18.374 Date: 2019-03-27T00:51:52.900 Date: 2019-03-28T19:36:04.082 Date: 2019-03-29T01:28:25.252 Date: 2019-03-30T09:42:01.498 Date: 2019-03-30T21:53:05.225 Date: 2019-04-02T02:56:58.921 Date: 2019-04-03T00:48:20.620 Date: 2019-04-04T01:23:23.977 Date: 2019-04-06T00:38:45.272 Date: 2019-04-07T01:32:24.899 Date: 2019-04-07T20:22:22.150 Date: 2019-04-07T20:26:35.472
ずいぶん簡単に指定できますね。
次は、ログオンとログオフ両方を抽出してみます。
C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001 or EventID=7002]]" /c:2
実行結果
Event[0]: Log Name: System Source: Microsoft-Windows-Winlogon Date: 2019-03-23T23:26:57.321 Event ID: 7002 Task: N/A Level: 情報 Opcode: 情報 Keyword: N/A User: S-1-5-18 User Name: NT AUTHORITY\SYSTEM Computer: DESKTOP-GQ56KQL Description: カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知 Event[1]: Log Name: System Source: Microsoft-Windows-Winlogon Date: 2019-03-23T23:28:26.888 Event ID: 7001 Task: N/A Level: 情報 Opcode: 情報 Keyword: N/A User: S-1-5-18 User Name: NT AUTHORITY\SYSTEM Computer: DESKTOP-GQ56KQL Description: カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知
コメント