wevtutil でイベントログを取得する(超簡易メモ)
wevtutil でイベントログを取得するコマンドのメモです(超簡易メモです・・・)
・Application チャネル
・EventRecordID が 5668
・text形式でフォーマット
C:\Windows\system32>wevtutil qe application /f:text /q:*[System[(EventRecordID=5668)]] Event[0]: Log Name: Application Source: TestProvider Date: 2016-09-10T11:55:25.555 Event ID: 100 Task: プリンター Level: 情報 Opcode: 情報 Keyword: クラシック User: N/A User Name: N/A Computer: ***** Description: N/A
・Application チャネル
・EventRecordID が 5668 以上
・EventID が 100
・xml形式でフォーマット
:\Windows\system32>wevtutil qe application /f:xml /q:"*[System[(EventID=100) and (EventRecordID>=5668)]]" <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>3</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T02:55:25.555880200Z'/><EventRecordID>5668</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security/></System><EventData><Data>test event log</Data></EventData></Event> <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:23:35.708643800Z'/><EventRecordID>5669</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security UserID='S-1-5-21-926225505-2512536082-3354389613-1001'/></System><EventData><Data>hoge</Data></EventData></Event> <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>3</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:26:51.630113600Z'/><EventRecordID>5670</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security/></System><EventData><Data>test event log</Data></EventData></Event>
・Application チャネル
・プロバイダ TestProvider
・EventRecordID が 5671
・RenderedXml形式でフォーマット
C:\Windows\system32>wevtutil qe application /f:RenderedXml /q:"*[System[Provider[@Name='TestProvider'] and (EventRecordID=5671)]]" <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='TestProvider'/><EventID Qualifiers='0'>100</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2016-09-10T03:47:07.049177900Z'/><EventRecordID>5671</EventRecordID><Channel>Application</Channel><Computer>*****</Computer><Security UserID='S-1-5-21-926225505-2512536082-3354389613-1001'/></System><EventData><Data>hoge</Data></EventData><RenderingInfo Culture='ja-JP'><Message>hoge</Message><Level>情報</Level><Task></Task><Opcode>情報</Opcode><Channel></Channel><Provider></Provider><Keywords><Keyword>クラシック</Keyword></Keywords></RenderingInfo></Event>
フォーマットに "RenderedXml" を指定すると "xml" の場合に取れてくる情報に追加で <RenderingInfo> が取れてくる感じになるみたいです。ただ、この場合プロバイダが以下のレジストリに登録されている必要があります(登録されていないと *1 のようにイベントがレンダリングできない旨のエラーになります)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\TestProvider
C:\Windows\system32>wevtutil qe application /f:RenderedXml /q:"*[System[Provider[@Name='TestProvider'] and (EventRecordID=5671)]]" イベントをレンダリングできませんでした。イベント ハンドルは 0x00000005 です。. Error=87
以上です。
[環境情報]
Windows 10
