Windows Ereignisprotokoll per Kommandozeilen Tool WEVTUTIL abrufen

Das Windows Ereichnisprotokoll ist meistens mit die erste Anlaufstelle, wenn Probleme mit dem Computer auftreten. Normalerweise wird das Ereignisprotokoll über die Windows Ereignisanzeige lokal aufgerufen. Was leider die wenigstens Windows Anwender oder Administratoren wissen, es gibt auch ein Kommandozeilenbefehl, mit dem das Windows Ereignisprotokoll abgerufen werden kann.
Der nötige Befehl dafür lautet
WEVTUTIL
Dieses Kommandozeilen-Tool, welches in jeder Windows Version mitgeliefert wird, dient zum Abrufen von Informationen zu Ereignisprotokollen. Mit dem Tool können diverse Aufgaben erledigt werden – z.B. EReignismanifestdateien hinzugefügt und entfernt werden, die Ereignisprotokolle abgerufen, exportiert, geleert/gelöscht und archiviert werden. Die verschiedenen Funktionen könnt Ihr über eine umfangreiche Parameterliste abrufen.
Wie man sehen kann, sind die meisten Parameter von WEVTUTIL selbsterklärend und recht einfach in der Handhabung. Als gute Beispiele könnte man folgende nennen:
WEVTUTIL el
Damit werden alle verfügbaren Windows Ereignisprotokollnamen aufgelistet.
WEVTUTIL cl Security
Mit diesem Befehl wird das Ereignisprotokoll „Sicherheit“ komplett geleert/gelöscht.
WEVTUTIL epl System C:\system.evtx
In diesem Beispiel wird das komplette Log von „System“ in die angegebene Datei exportiert. Diesen Befehl könnte man z.B. auch remote auf einem Computer ausführen, um später das exportierte Log-File auf einem anderen Computer zu öffnen und in Ruhe zu analysieren.