Windowsコマンド(wevtutil qe)(その5)

前回wevtutil eplでエクスポートしたイベントログから、wevtutil qeしてみます。

C:\Users\takk\tmp>dir
 ドライブ C のボリューム ラベルがありません。
 ボリューム シリアル番号は C4E9-35F2 です

 C:\Users\takk\tmp のディレクトリ

2019/04/13  01:13    <DIR>          .
2019/04/13  01:13    <DIR>          ..
2019/04/13  01:13        21,041,152 log.evtx
               1 個のファイル          21,041,152 バイト
               2 個のディレクトリ  72,177,098,752 バイトの空き領域

C:\Users\takk\tmp>

エクスポートしたファイルを指定するために、/lfを指定します。大量に表示されるので、/c:1にします。

C:\Users\takk\tmp>wevtutil qe /lf log.evtx /c:1
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Pr
ovider Name='Microsoft-Windows-DistributedCOM' Guid='{1B562E86-B7AA-4131-BADC-B6
F3A001407E}' EventSourceName='DCOM'/><EventID Qualifiers='0'>10016</EventID><Ver
sion>0</Version><Level>2</Level><Task>0</Task><Opcode>0</Opcode><Keywords>0x8080

～省略～

Data><Data Name='param8'>S-3-5-23-9867355226-583341306-9966728556-3003</Data><Da
ta Name='param1'>LocalHost (LRPC 使用)</Data><Data Name='param30'>Microsoft.Micr
osoftEdge_44.37769.3.0_neutral__8wekyb9d8bbwe</Data><Data Name='param33'>S-3-35-
2-9624053499-2325758134-3429013267-3740811205-3079125981-9782572362-797183314-42
56126621-3688271135-2791231046-9128706135</Data></EventData></Event>


C:\Users\takk\tmp>

おっ、出力されました。evtx形式で保存しても、wevtutil qeで変換できるんですね。

C:\Users\takk\tmp>wevtutil qe /lf log.evtx /c:1 /f:text
Event[0]:
  Log Name: System
  Source: Microsoft-Windows-DistributedCOM
  Date: 2019-03-23T18:15:49.862
  Event ID: 10016
  Task: N/A
  Level: エラー
  Opcode: 情報
  Keyword: クラシック
  User: S-1-5-21-3867155226-581349106-3366718556-1001
  User Name: DESKTOP-GQ56KQL\takk
  Computer: DESKTOP-GQ56KQL
  Description:
アプリケーション固有 のアクセス許可の設定では、CLSID
{DE50C7BB-FAA7-4A7F-BA47-BF0EFCFE433D}
 および APPID
{B0316D0C-DA2F-40E0-9F91-F600CAF042DC}
 の COM サーバー アプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーション コンテナー Microsoft.MicrosoftEdge_44.37769.3.0_neutral__8wekyb9d8bbwe SID (S-3-35-2-9624053499-2325758134-3429313267-3740811205-3079125981-9782572362-797183314-4256126621-3688271135-2791221046-9128706135) で実行中のアドレス LocalHost (LRPC 使用) のユーザー DESKTOP-GQ56KQL\takk SID (S-3-5-23-9867355226-583341306-9966728556-3003) に与えることはできません。このセキュリティ アクセス 許可は、コンポーネント サービス管理ツールを使って変更できます。


C:\Users\takk\tmp>