読者です 読者をやめる 読者になる 読者になる

wevtutil でイベントログを取得する(超簡易メモ)

wevtutil でイベントログを取得するコマンドのメモです(超簡易メモです・・・)

・Application チャネル
・EventRecordID が 5668
・text形式でフォーマット

C:\Windows\system32>wevtutil qe application /f:text /q:*[System[(EventRecordID=5668)]]
Event[0]:
  Log Name: Application
  Source: TestProvider
  Date: 2016-09-10T11:55:25.555
  Event ID: 100
  Task: プリンター
  Level: 情報
  Opcode: 情報
  Keyword: クラシック
  User: N/A
  User Name: N/A
  Computer: *****
  Description:
N/A


・Application チャネル
・EventRecordID が 5668 以上
・EventID が 100
xml形式でフォーマット

:\Windows\system32>wevtutil qe application /f:xml /q:"*[System[(EventID=100) and (EventRecordID>=5668)]]"
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>3</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T02:55:25.555880200Z'/><EventRecordID>5668</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security/></System><EventData><Data>test event log</Data></EventData></Event>
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:23:35.708643800Z'/><EventRecordID>5669</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security UserID='S-1-5-21-926225505-2512536082-3354389613-1001'/></System><EventData><Data>hoge</Data></EventData></Event>
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>3</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:26:51.630113600Z'/><EventRecordID>5670</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security/></System><EventData><Data>test event log</Data></EventData></Event>


・Application チャネル
・プロバイダ TestProvider
・EventRecordID が 5671
・RenderedXml形式でフォーマット

C:\Windows\system32>wevtutil qe application /f:RenderedXml /q:"*[System[Provider[@Name='TestProvider'] and (EventRecordID=5671)]]"
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:47:07.049177900Z'/><EventRecordID>5671</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security UserID='S-1-5-21-926225505-2512536082-3354389613-1001'/></System><EventData><Data>hoge</Data></EventData><RenderingInfo Culture='ja-JP'><Message>hoge</Message><Level>情報</Level><Task></Task><Opcode>情報</Opcode><Channel></Channel><Provider></Provider><Keywords><Keyword>クラシック</Keyword></Keywords></RenderingInfo></Event>


フォーマットに "RenderedXml" を指定すると "xml" の場合に取れてくる情報に追加で <RenderingInfo> が取れてくる感じになるみたいです。ただ、この場合プロバイダが以下のレジストリに登録されている必要があります(登録されていないと *1 のようにイベントがレンダリングできない旨のエラーになります)。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\TestProvider

*1 レジストリにプロバイダが登録されていない場合

C:\Windows\system32>wevtutil qe application /f:RenderedXml /q:"*[System[Provider[@Name='TestProvider'] and (EventRecordID=5671)]]"
イベントをレンダリングできませんでした。イベント ハンドルは 0x00000005 です。. Error=87


以上です。

[環境情報]
Windows 10