logo标签列表

WEVTUtil导出特定事件

windowsbatch-fileevent-viewerwevtutil
4

我希望仅从安全中导出事件ID 4624。

下面的代码将导出安全中的所有事件(我只想要4624);

WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"

当导出所有4624个事件后,我想筛选只有以下事件:

<Data Name='LogonProcessName'>User32 </Data>

这将是带有IP的RDP日志,因为“Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational”中的日志没有IP(仅有用户名):( 我听说这是因为RDP连接是TLS安全的...

1个回答
4

我想从安全日志中仅导出事件ID 4624

WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"
您正在使用错误的格式来使用/q选项。
请使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"

如何将过滤器限制为包含“User32”的“事件ID 4624”?

When all 4624 events exported I want filter only events with:

<Data Name='LogonProcessName'>User32 </Data>

请使用以下命令行:

wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"

基于以下源链接的代码。

源代码:如何使用wevtutil命令获取事件详细信息,如果它只符合特定的文本或单词

进一步阅读

谢谢,筛选器运行良好!您能否修复名称中带有空格的文件夹的%~dp0Logins.txt问题? - acid magic
似乎只有第一个例子有效,但过滤不起作用 :/ - acid magic
@acidmagic,您正在运行的确切命令行是什么?有错误吗?如果只输出到名为“Logins.txt”的文件中,它是否有效? - DavidPostill
wevtutil qe Security "/q:[System [(EventID=4624)]]" /rd:true /c:1| findstr User32 >nul && wevtutil qe Security "/q:[System [(EventID=4624)]]" /f:text /rd:true /c:1 > "%~dp0logs.txt"我没有得到任何输出(logs.txt),User32存在于事件4624中。 - acid magic
请尝试删除 /c:1 的两个出现。回答已更新。 - DavidPostill
同样的事情 :( 我得到了logs.txt输出,其中包含所有事件4624(无论是否带有user32字符串) - acid magic
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接