Windows Ereignisprotokoll per Kommandozeilen Tool WEVTUTIL abrufen

Windows - Tipps und Tricks

Das Windows Ereichnisprotokoll ist meistens mit die erste Anlaufstelle, wenn Probleme mit dem Computer auftreten. Normalerweise wird das Ereignisprotokoll über die Windows Ereignisanzeige lokal aufgerufen. Was leider die wenigstens Windows Anwender oder Administratoren wissen, es gibt auch ein Kommandozeilenbefehl, mit dem das Windows Ereignisprotokoll abgerufen werden kann.

Der nötige Befehl dafür lautet

WEVTUTIL

Dieses Kommandozeilen-Tool, welches in jeder Windows Version mitgeliefert wird, dient zum Abrufen von Informationen zu Ereignisprotokollen. Mit dem Tool können diverse Aufgaben erledigt werden – z.B. EReignismanifestdateien hinzugefügt und entfernt werden, die Ereignisprotokolle abgerufen, exportiert, geleert/gelöscht und archiviert werden. Die verschiedenen Funktionen könnt Ihr über eine umfangreiche Parameterliste abrufen.

wevtutil

 

Wie man sehen kann, sind die meisten Parameter von WEVTUTIL selbsterklärend und recht einfach in der Handhabung. Als gute Beispiele könnte man folgende nennen:

WEVTUTIL el

Damit werden alle verfügbaren Windows Ereignisprotokollnamen aufgelistet.

WEVTUTIL cl Security

Mit diesem Befehl wird das Ereignisprotokoll „Sicherheit“ komplett geleert/gelöscht.

WEVTUTIL epl System C:\system.evtx

In diesem Beispiel wird das komplette Log von „System“ in die angegebene Datei exportiert. Diesen Befehl könnte man z.B. auch remote auf einem Computer ausführen, um später das exportierte Log-File auf einem anderen Computer zu öffnen und in Ruhe zu analysieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.