WEVTUtil导出某些事件

Question

我想从安全

中仅导出事件ID 4624

下面的代码从安全中导出所有事件（我只想要4624）;

WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"

当导出所有4624个事件时，我想要仅过滤事件：

<Data Name='LogonProcessName'>User32 </Data>

这将是带有IP的RDP日志，因为登录＆＃34; Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational＆＃34;没有IP（只有用户名）:(我听说这是因为RDP连接是TLS安全的......

Answer 1

我只想从安全

导出Event ID 4624

WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"

/q选项使用了错误的格式。

使用以下命令行：

wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"

如何将过滤条件限制为Event ID 4624包含User32？

  

当导出所有4624个事件时，我想要仅过滤事件：

<Data Name='LogonProcessName'>User32 </Data>

使用以下命令行：

wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"

基于以下源链接的代码。

来源How to use wevtutil command to get event details if it only comply with specific text or word

进一步阅读

• An A-Z Index of the Windows CMD command line - 与Windows cmd相关的所有内容的绝佳参考。
• findstr - 在文件中搜索字符串。
• wevutil - Windows事件命令行实用程序。