Wevtutil exe что это

WEVTUTIL – управление событиями в Windows.

Формат командной строки:

wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]. ] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]. ]

Вы можете указывать имена команд и параметров как в краткой (например, «ep /uni»), так и в полной (например, «enum-publishers /unicode») форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.

el | enum-logs gl | get-log sl | set-log ep | enum-publishers gp | get-publisher im | install-manifest um | uninstall-manifest qe | query-events gli | get-log-info epl | export-log al | archive-log cl | clear-log

Получение списка имен журналов. Получение сведений о конфигурации журнала. Изменение конфигурации журнала. Получение списка издателей событий. Получение сведений о конфигурации издателя. Установка издателей и журналов событий из манифеста. Удаление издателей и журналов событий из манифеста. Запрос событий из журнала или файла журнала. Получение сведений о состоянии журнала. Экспорт журнала. Архивирование экспортированного журнала. Очистка журнала.

Для получения дополнительных сведений о конкретной команде введите следующий текст:

Примеры использования WENTUTIL.

wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1

Пример отображаемой информации:

creationTime: 2017-02-10T07:22:58.552Z
lastAccessTime: 2017-02-10T07:22:58.552Z
lastWriteTime: 2017-03-07T08:39:30.870Z
fileSize: 1118208
attributes: 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1

name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1

Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.

name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Устройства
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтеры

Источник

Очистка журналов событий Windows с помощью PowerShell и wevtutil

Очистка журналов событий с помощью PowerShell

В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog.

Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.

Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:

Clear-EventLog –LogName System

В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом «The System log file was cleared».

Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:

Таким образом, будут очищены все классические журналы EventLogs.

Очистка журналов с помощью консольной утилиты WevtUtil.exe

Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe. Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:

Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:

WevtUtil enum-logs

или более короткий вариант:

На экране отобразится довольно внушительный список имеющихся журналов.

Можно получить более подробную информацию по конкретному журналу:

Очистка событий в конкретном журнале выполняется так:

Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:

Wevtutil el | ForEach

Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.

Очистка журналов может быть выполнена и из классической командной строки:

Источник

wevtutil

Enables you to retrieve information about event logs and publishers. You can also use this command to install and uninstall event manifests, to run queries, and to export, archive, and clear logs.

Syntax

Parameters

Parameter	Description
	Displays the names of all logs.
[/f: ]	Displays configuration information for the specified log, which includes whether the log is enabled or not, the current maximum size limit of the log, and the path to the file where the log is stored.
[/e: ] [/i: ] [/lfn: ] [/rt: ] [/ab:] [/ms: ] [/l: ] [/k: ] [/ca: ] [/c: ]	Modifies the configuration of the specified log.
	Displays the event publishers on the local computer.
[/ge: ] [/gm: ] [/f: ]]	Displays the configuration information for the specified event publisher.
	Installs event publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
	Uninstalls all publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
[/lf: ] [/sq: ] [/q: ] [/bm: ] [/sbm: ] [/rd: ] [/f: ] [/l: ] [/c: ] [/e: ]	Reads events from an event log, from a log file, or using a structured query. By default, you provide a log name for . However, if you use the /lf option, then must be a path to a log file. If you use the /sq parameter, must be a path to a file that contains a structured query.
[/lf: ]	Displays status information about an event log or log file. If the /lf option is used, is a path to a log file. You can run wevtutil el to obtain a list of log names.
[/lf: ] [/sq: ] [/q: ] [/ow: ]	Exports events from an event log, from a log file, or using a structured query to the specified file. By default, you provide a log name for . However, if you use the /lf option, then must be a path to a log file. If you use the /sq option, must be a path to a file that contains a structured query. is a path to the file where the exported events will be stored.
[/l: ]	Archives the specified log file in a self-contained format. A subdirectory with the name of the locale is created and all locale-specific information is saved in that subdirectory. After the directory and log file are created by running wevtutil al, events in the file can be read whether the publisher is installed or not.
[/bu: ]	Clears events from the specified event log. The /bu option can be used to back up the cleared events.

Options

Specifies the password for the user. If the /u option is used and this option is not specified or

is *, the user will be prompted to enter a password. This option is only applicable when the /u option is specified./a:

Defines the authentication type for connecting to a remote computer. can be Default, Negotiate, Kerberos or NTLM. The default is Negotiate./uni:Displays the output in Unicode. can be true or false. If is true then the output is in Unicode.

Remarks

Using a configuration file with the sl parameter

The configuration file is an XML file with the same format as the output of wevtutil gl /f:xml. To shows the format of a configuration file that enables retention, enables autobackup, and sets the maximum log size on the Application log:

Examples

List the names of all logs:

Display configuration information about the System log on the local computer in XML format:

Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):

Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:

Install publishers and logs from the myManifest.xml manifest file:

Uninstall publishers and logs from the myManifest.xml manifest file:

Display the three most recent events from the Application log in textual format:

Display the status of the Application log:

Export events from System log to C:\backup\system0506.evtx:

Clear all of the events from the Application log after saving them to C:\admin\backups\a10306.evtx:

Источник

Что такое wevtutil.exe? Это безопасно или вирус? Как удалить или исправить это

Что такое wevtutil.exe?

wevtutil.exe это исполняемый файл, который является частью MSDN Disc 4616.01 разработанный Microsoft, Версия программного обеспечения для Windows: 1.0.0.0 обычно 175616 в байтах, но у вас может отличаться версия.

Wevtutil.exe безопасный или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для wevtutil.exe его путь будет примерно таким: C: \ Program Files \ Microsoft \ MSDN Disc 4616.01 \ wevtutil.exe

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Наиболее важные факты о wevtutil.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением wevtutil.exe. Для этого найдите этот процесс в диспетчере задач.

Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами

Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус wevtutil.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.

Могу ли я удалить или удалить wevtutil.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Однако, если это не вирус, и вам нужно удалить wevtutil.exe, вы можете удалить MSDN Disc 4616.01 со своего компьютера, используя его деинсталлятор. Если вы не можете найти его деинсталлятор, вам может потребоваться удалить MSDN Disc 4616.01, чтобы полностью удалить wevtutil.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.

Распространенные сообщения об ошибках в wevtutil.exe

Наиболее распространенные ошибки wevtutil.exe, которые могут возникнуть:

• «Ошибка приложения wevtutil.exe».
• «Ошибка wevtutil.exe».
• «Возникла ошибка в приложении wevtutil.exe. Приложение будет закрыто. Приносим извинения за неудобства».
• «wevtutil.exe не является допустимым приложением Win32».
• «wevtutil.exe не запущен».
• «wevtutil.exe не найден».
• «Не удается найти wevtutil.exe».
• «Ошибка запуска программы: wevtutil.exe.»
• «Неверный путь к приложению: wevtutil.exe.»

Как исправить wevtutil.exe

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс wevtutil.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлен декабрь 2021:

Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:

Скачать или переустановить wevtutil.exe

Вход в музей Мадам Тюссо не рекомендуется загружать заменяемые exe-файлы с любых сайтов загрузки, так как они могут содержать вирусы и т. д. Если вам нужно скачать или переустановить wevtutil.exe, мы рекомендуем переустановить основное приложение, связанное с ним. MSDN Disc 4616.01.

Информация об операционной системе

Ошибки wevtutil.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:

Источник

Wevtutil

Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows 8

Enables you to retrieve information about event logs and publishers. You can also use this command to install and uninstall event manifests, to run queries, and to export, archive, and clear logs. For examples of how to use this command, see Examples.

Syntax

Parameters

Displays the names of all logs.

Displays configuration information for the specified log, which includes whether the log is enabled or not, the current maximum size limit of the log, and the path to the file where the log is stored.

Modifies the configuration of the specified log.

Displays the event publishers on the local computer.

Displays the configuration information for the specified event publisher.

Installs event publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).

Uninstalls all publishers and logs from a manifest. For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).

[/lf: ] [/sq: ] [/q: ] [/bm: ] [/sbm: ] [/rd: ] [/f: ] [/l: ] [/c: ] [/e: ]

Reads events from an event log, from a log file, or using a structured query. By default, you provide a log name for

. However, if you use the /lf option, then

must be a path to a log file. If you use the /sq parameter,

must be a path to a file that contains a structured query.

Displays status information about an event log or log file. If the /lf option is used, is a path to a log file. You can run wevtutil el to obtain a list of log names.

Exports events from an event log, from a log file, or using a structured query to the specified file. By default, you provide a log name for

. However, if you use the /lf option, then

must be a path to a log file. If you use the /sq option,

must be a path to a file that contains a structured query. is a path to the file where the exported events will be stored.

Archives the specified log file in a self-contained format. A subdirectory with the name of the locale is created and all locale-specific information is saved in that subdirectory. After the directory and log file are created by running wevtutil al, events in the file can be read whether the publisher is installed or not.

Clears events from the specified event log. The /bu option can be used to back up the cleared events.

Options

Specifies that the output should be either XML or text format. If is XML, the output is displayed in XML format. If is Text, the output is displayed without XML tags. The default is Text.

Enables or disables a log. can be true or false.

Sets the log isolation mode. can be system, application or custom. The isolation mode of a log determines whether a log shares a session with other logs in the same isolation class. If you specify system isolation, the target log will share at least write permissions with the System log. If you specify application isolation, the target log will share at least write permissions with the Application log. If you specify custom isolation, you must also provide a security descriptor by using the /ca option.

Defines the log file name. is a full path to the file where the Event Log service stores events for this log.

Sets the log retention mode. can be true or false. The log retention mode determines the behavior of the Event Log service when a log reaches its maximum size. If an event log reaches its maximum size and the log retention mode is true, existing events are retained and incoming events are discarded. If the log retention mode is false, incoming events overwrite the oldest events in the log.

Sets the maximum size of the log in bytes. The minimum log size is 1048576 bytes (1024KB) and log files are always multiples of 64KB, so the value you enter will be rounded off accordingly.

Defines the level filter of the log. can be any valid level value. This option is only applicable to logs with a dedicated session. You can remove a level filter by setting to 0.

Specifies the keywords filter of the log. can be any valid 64 bit keyword mask. This option is only applicable to logs with a dedicated session.

Sets the access permission for an event log. is a security descriptor that uses the Security Descriptor Definition Language (SDDL). For more information about SDDL format, see the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).

Gets metadata information for events that can be raised by this publisher. can be true or false.

Displays the actual message instead of the numeric message ID. can be true or false.

Specifies that the events should be read from a log or from a log file. can be true or false. If true, the parameter to the command is the path to a log file.

Specifies that events should be obtained with a structured query. can be true or false. If true,

is the path to a file that contains a structured query.

Defines the XPath query to filter the events that are read or exported. If this option is not specified, all events will be returned or exported. This option is not available when /sq is true.

Specifies the path to a file that contains a bookmark from a previous query.

Specifies the direction in which events are read. can be true or false. If true, the most recent events are returned first.

Defines a locale string that is used to print event text in a specific locale. Only available when printing events in text format using the /f option.

Sets the maximum number of events to read.

Specifies that the export file should be overwritten. can be true or false. If true, and the export file specified in already exists, it will be overwritten without confirmation.

Runs the command on a remote computer. is the name of the remote computer. The im and um parameters do not support remote operation.

Specifies a different user to log on to a remote computer. is a user name in the form domain\user or user. This option is only applicable when the /r option is specified.

Specifies the password for the user. If the /u option is used and this option is not specified or

is «*», the user will be prompted to enter a password. This option is only applicable when the /u option is specified.

Defines the authentication type for connecting to a remote computer. can be Default, Negotiate, Kerberos or NTLM. The default is Negotiate.

Displays the output in Unicode. can be true or false. If is true then the output is in Unicode.

Remarks

Using a configuration file with the sl parameter

The configuration file is an XML file with the same format as the output of wevtutil gl /f:xml. The following example shows the format of a configuration file that enables retention, enables autobackup, and sets the maximum log size on the Application log:

Examples

List the names of all logs:

Display configuration information about the System log on the local computer in XML format:

Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):

Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:

Install publishers and logs from the myManifest.xml manifest file:

Uninstall publishers and logs from the myManifest.xml manifest file:

Display the three most recent events from the Application log in textual format:

Display the status of the Application log:

Export events from System log to C:\backup\system0506.evtx:

Clear all of the events from the Application log after saving them to C:\admin\backups\a10306.evtx:

Источник