Windows日志查看

一、wevtutil工具

wevtutil工具用于检测有关事件日志和发布者的信息。在进行相关日志操作时推荐将“cmd”以管理员身份运行。

wevtutil命令参数：

el | enum-logs          列出日志名称。
gl | get-log            获取日志配置信息。
sl | set-log            修改日志配置。
ep | enum-publishers    列出事件发布者。
gp | get-publisher      获取发布者配置信息。
im | install-manifest   从清单中安装事件发布者和日志。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events       从日志或日志文件中查询事件。
gli | get-log-info      获取日志状态信息。
epl | export-log        导出日志。
al | archive-log        存档导出的日志。
cl | clear-log          清除日志。

列出所有已注册的日志

wevtutil el

将System日志导出到文件D盘

wevtutil epl System D:/System_log.evtx

导出安全日志到D盘为Security_log.evtx

wevtutil epl Security D:/Security_log.evtx

导出RemoteApp and Desktop Connections/Admin日志到D盘RDC.evtx。因为RemoteApp and Desktop Connections/Admin中间存在空格和特殊字符需要使用双引号进行选中。

wevtutil epl "Microsoft-Windows-RemoteApp and Desktop Connections/Admin" D:/RDC.evtx

在安全日志中搜寻最近ID为4624的100条日志事件

wevtutil qe Security /q:"Event/System/EventID=4624" /c:100 /f:text

二、Log Parser工具

微软官方日志分析工具，可通过如下连接进行下载：

Download Log Parser 2.2 from Official Microsoft Download Center

可分析基于文本的日志文件、XML文件、CSV文件，以及操作系统的事件日志、注册表、文件系统、AD域等相关内容，并且可通过SQL语言进行数据分析，并把分析结果以图标形式进行展现。

显示全部日志：

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:/Security_log.evtx"

只显示EventID为4624的日志：

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:/Security.evtx where EventID=4624"

三、Event log explorer工具

可用于查看、监视和分析跟踪事件记录，可通过其强大的过滤功能快速过滤出有价值的信息。但是，商业版软件是收费的。

Windows event log analysis software, view and monitor system, application and security event logs — FSPro Labs (eventlogxp.com)

 Windows日志审核相关内容请参考：Window安全审核 – ColoFly – 博客园 (cnblogs.com)