【监控实践】使用 wevtutil 获取windows系统日志
时间:2020-04-25
本文章向大家介绍【监控实践】使用 wevtutil 获取windows系统日志,主要包括【监控实践】使用 wevtutil 获取windows系统日志使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
有时项目中可能会用到一些日志的配置信息。本文简单介绍一下安全日志的相关信息获取。
首先,需要获取日志类别,用来进行之后本类别的日志详细信息查询:
wevtutil el
其中security即为安全日志类别
wevtutil 命令参数如下
| 命令 | 意义 | 注释 |
|---|---|---|
| el | enum-logs | 列出日志名称 |
| gl | get-log | 获取日志配置信息 |
| sl | set-log | 修改日志配置 |
| ep | enum-publishers | 列出事件发布者 |
| gp | get-publisher | 获取发布者配置信息 |
| im | install-manifest | 从清单中安装事件发布者和日志 |
| um | uninstall-manifest | 从清单中卸载事件发布者和日志 |
| qe | query-events | 从日志或日志文件中查询事件 |
| gli | get-log-info | 获取日志状态信息 |
| epl | export-log | 导出日志 |
| al | archive-log | 存档导出的日志 |
| cl | clear-log | 清除日志 |
导出 安全 日志的命令为:
wevtutil epl security d:\security.evtx
该命令将安全日志信息导出到d盘下的security.evtx文件
查询 安全 日志的配置信息命令如下:
wevtutil gl security
结果(包含但不是全部) 属性如下:
-name ------ 日志类别
enabled ------ 是否禁用
logging:
logFileName ------ 日志文件保存路径
retention ------ 是否保留
autoBackup ------是否自动备份
maxSize ------ 本类别日志最大容量
windows上面覆盖方式有三种:
按需要覆盖------ retention:false;autoBackup:false
满时存档,不覆盖------ retention:true;autoBackup:true
不覆盖,手动清除------ retention:true;autoBackup:false
作者:东方欲晓_莫道君行早
链接:https://www.jianshu.com/p/b7385b37c3d8
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
参考:windows攻防渗透:https://www.secpulse.com/archives/75470.html
原文地址:https://www.cnblogs.com/gered/p/12774514.html
- 从python2到python3
- 【干货】如何写代码 -编程内功心法
- .NET中的异步编程下
- 深度学习数学基础一--最小二乘法
- 【LeetCode 344】关关的刷题日记26 Reverse String
- 基于AOE网的关键路径的求解
- 【LeetCode 122】关关刷题日记25-Best Time to Buy and Sell Stock II
- 【干货】python正则表达式应用笔记
- .NET跨平台之旅:将示例站点从 ASP.NET 5 RC1 升级至 ASP.NET Core 1.0
- .NET跨平台之旅:在Linux上以本地机器码(native)运行ASP.NET Core站点
- 【干货】基于pytorch的CNN、LSTM神经网络模型调参小结
- jenkins配置.net mvc网站
- 简述【聚类算法】
- word2vec理论与实践
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- oracle数据库impdp导入dmp文件功能演示,imp导入IMP-00038: Could not convert to environment character sets handle问题解决
- 弄懂这 5 个问题,拿下 Python 迭代器!
- windows、linux下命令行登录oracle数据库方法,查询sga参数值sql语句
- oracle数据库查询open_cursors值的sql语句,达梦数据库查询MAX_SESSION_STATEMENT值方法,MAX_SESSION_STATEMENT的最大值、上限是多少。
- 达梦数据库启用日志方法,达梦数据库查看日志是否启用,达梦数据库日志文件位置查找
- JavaScript 技术篇 - js 查看哪个元素获取了焦点,js 指定元素获取焦点方法
- 工作10年后,再看String s = new String("xyz") 创建了几个对象?
- Linux达梦数据库:通过disql登录命令行操作数据库,打开达梦数据库自带的数据库管理连接工具
- Dbvis数据库连接工具将查询出数据转化为sql插入语句方法
- JavaScript 技术篇 - js通过xpath路径定位元素方法
- Python+selenium 自动化高级应用篇:借助pyautogui实现web前端带轨迹拖拽功能,解决ActionChains拖拽失效问题
- PG数据库版本查看方法,sql语句查pg数据库版本方法
- Linux下DM达梦数据库导入导出dmp文件实战演示,dexp和dimp命令详细使用方法
- oracle数据库imp导入失败提示:“不是有效的导出文件, 标头验证失败”解决方法,修改dmp文件里oracle数据库版本号方法
- BAT批处理文件无法运行提示“/E /I /Y ‘XCOPY‘ 不是内部或外部命令,也不是可运行的程序或批处理文件”解决方法