Windowsコマンド(wevtutil qe)(その3)

今回も引き続きwevtutil qeです。
wevtutilコマンドは、今まで学習してきたWindowsコマンドの中では一番使うことが多そうです。

前回までは、出力されたxmlをフィルタリングしていましたが、今回はテキスト出力してみます。
ログオン情報を最新から1個抽出。

C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001]]" /c:1
Event[0]:
  Log Name: System
  Source: Microsoft-Windows-Winlogon
  Date: 2019-03-23T23:28:26.888
  Event ID: 7001
  Task: N/A
  Level: 情報
  Opcode: 情報
  Keyword: N/A
  User: S-1-5-18
  User Name: NT AUTHORITY\SYSTEM
  Computer: DESKTOP-GQ56KQL
  Description:
カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知


C:\Users\takk>

/f:textを指定すると、xmlではなくテキスト形式で出力します。
/c:で抽出数を指定
/q:は、抽出条件をXPathクエリで指定します。

では、全ログオン時間を抽出。

C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001]]" | findstr Date

実行結果です。

  Date: 2019-03-23T23:28:26.888
  Date: 2019-03-25T01:21:58.576
  Date: 2019-03-26T00:39:18.374
  Date: 2019-03-27T00:51:52.900
  Date: 2019-03-28T19:36:04.082
  Date: 2019-03-29T01:28:25.252
  Date: 2019-03-30T09:42:01.498
  Date: 2019-03-30T21:53:05.225
  Date: 2019-04-02T02:56:58.921
  Date: 2019-04-03T00:48:20.620
  Date: 2019-04-04T01:23:23.977
  Date: 2019-04-06T00:38:45.272
  Date: 2019-04-07T01:32:24.899
  Date: 2019-04-07T20:22:22.150
  Date: 2019-04-07T20:26:35.472

ずいぶん簡単に指定できますね。

次は、ログオンとログオフ両方を抽出してみます。

C:\Users\takk>wevtutil qe system /f:text /q:"*[*[EventID=7001 or EventID=7002]]" /c:2

実行結果

Event[0]:
  Log Name: System
  Source: Microsoft-Windows-Winlogon
  Date: 2019-03-23T23:26:57.321
  Event ID: 7002
  Task: N/A
  Level: 情報
  Opcode: 情報
  Keyword: N/A
  User: S-1-5-18
  User Name: NT AUTHORITY\SYSTEM
  Computer: DESKTOP-GQ56KQL
  Description:
カスタマー エクスペリエンス向上プログラムのユーザー ログオフ通知

Event[1]:
  Log Name: System
  Source: Microsoft-Windows-Winlogon
  Date: 2019-03-23T23:28:26.888
  Event ID: 7001
  Task: N/A
  Level: 情報
  Opcode: 情報
  Keyword: N/A
  User: S-1-5-18
  User Name: NT AUTHORITY\SYSTEM
  Computer: DESKTOP-GQ56KQL
  Description:
カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA