[ホーム] - [Windows 2008 FAQ 一覧] - [コマンドラインよりイベントログを操作する方法]



作成日:2013/09/22
更新日:2019/05/05
対象:Windows 2008

コマンドラインよりイベントログを操作する方法




【目次】


Windows イベントログを操作するコマンド



コマンドラインよりイベントログを操作する方法には wevtutilコマンドを使用します。


【例1:】アプリケーションイベントログをクリアする 


C:\>wevtutil cl application


【例2】:セキュリティログを ファイルにバックアップする 


C:\>wevtutil epl security c:\security.evt /ow:true



以下は wevtutil コマンドのヘルプです。

Windows イベント コマンド ライン ユーティリティ。

イベント ログおよび発行元に関する情報の取得、イベント マニフェストの
インストールおよびアンインストール、クエリの実行、ログのエクスポート、
アーカイブおよびクリアを実施できます。

使用法:

コマンドとオプション名は短いバージョン (ep /uni など) または
長いバージョン (enum-publishers /unicode など) を使用できます。
コマンド、オプションおよびその値は、大文字と小文字が区別されません。

変数はすべて大文字で記述しています。

wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]

コマンド:

el | enum-logs ログ名を列挙します。
gl | get-log ログの構成情報を取得します。
sl | set-log 既存のログの構成を更新します。
ep | enum-publishers イベントの発行元を列挙します。
gp | get-publisher 発行元の構成情報を取得します。
im | install-manifest イベントの発行元とログをマニフェストから
インストールします。
um | uninstall-manifest イベントの発行元とログをマニフェストから
アンインストールします。
qe | query-events ログまたはログ ファイルからイベントを照会します。
gli | get-log-info ログ ステータス情報を取得します。
epl | export-log ログをエクスポートします。
al | archive-log エクスポートされたログを保管します。
cl | clear-log ログをクリアします。

一般的なオプション:

/{r | remote}:VALUE
指定すると、リモート コンピューター上でコマンドが実行されます。
VALUE はリモート コンピューターです。
オプション /im および /um はリモート操作をサポートしていません。

/{u | username}:VALUE
リモート コンピューターにログオンする別のユーザーを指定します。VALUE は
"ドメイン\ユーザー" または "ユーザー" の形式のユーザー名です。
オプション /r が指定されている場合にだけ適用できます。

/{p | password}:VALUE
指定されたユーザーのパスワードです。指定されていないか、VALUE に
"*" が指定されている場合、ユーザーはパスワードの入力を求められます。
オプション /u が指定されている場合にだけ適用できます。

/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
リモート コンピューターにアクセスするための認証の種類です。
既定値は "Negotiate" です。

/{uni | unicode}:[true|false]
Unicode で出力を表示します。true の場合、出力は Unicode です。

特定のコマンドの詳細については、次のコマンドを入力してください。

wevtutil COMMAND /?



イベントログの日付順で表示する


コマンドラインからイベントログを出力する場合、新しい日付順に表示したい場合もあるでしょう。
そんな場合は /rd オプションを使用します。(/rd オプションはヘルプでは表示されませんでした)

/rd:true にすると最新のイベントが一番最初に出力されます。 



C:\wevtutil qe System /f:Text /rd:true


サンプルコマンド


以下は実行例です。新しいイベントが先に表示されていることが分かります。 



C:\>wevtutil qe System /f:Text /rd:true

Event[0]:

  Log Name: System

  Source: NetBT

  Date: 2019-05-05T20:06:57.624

  Event ID: 4321

  Task: N/A

  Level: エラー

  Opcode: N/A

  Keyword: クラシック

  User: N/A

  User Name: N/A

  Computer: PCNAME

  Description:

名前 "PCNAME         :0" は、IP アドレス *.*.*.* のインターフェイスに登録できませんでした。 IP アドレス *.*.*.* のコンピューターは、その名前がこのコンピューターに付くことを 許可しませんでした。



<中略>



Event[7]:

  Log Name: System

  Source: Microsoft-Windows-Kernel-Power

  Date: 2019-05-05T19:22:43.405

  Event ID: 105

  Task: N/A

  Level: 情報

  Opcode: 情報

  Keyword: N/A

  User: S-1-5-18

  User Name: NT AUTHORITY\SYSTEM

  Computer: PCNAME

  Description:

電源の変更。







(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2022

[Windows 2008 FAQ 一覧に戻る]