语法参数: # 语法 wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT] wevtutil COMMAND /?...wevtutil el # 列出日志名称 Application / System / Secuirty wevtutil ep # 列出当前计算机上的事件发布者(即谁发出的...wevtutil gl System /f:xml wevtutil gl System /f:Text weiyigeek.top-查询Intel-USB3.0对象提供日志配置信息 2.查询所有认证登录...wevtutil qe Application /c:3 /rd:true /f:text # 查看系统关闭和开启时间日志(注意与真实时间相差+8小时),只显示前三条 wevtutil qe System...wevtutil cl security wevtutil cl system wevtutil cl application wevtutil cl setup 4.设置日志记录策略以及大小。
基础语法: wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT] wevtutil COMMAND /?...(效果同上) wevtutil gl 日志名称 #获取日志配置信息。...cl security wevtutil cl system wevtutil cl application WeiyiGeek. #3.使用文本格式显示应用程序日志中的三个最近的事件。...wevtutil qe Application /c:3 /rd:true /f:text #4.系统关闭和开启时间记录(注意/q需要采用XPATH路径) wevtutil qe System /c:...wevtutil gl System /f:xml wevtutil gl System /f:Text #6.进行日志记录设置 wevtutil sl Application /fm:16 /l:10
而是"其他用户",强制让手输Administrator用户名和密码,这是微软出于安全性考虑 2、清空系统日志时清不干净 我平时用这个命令清空系统日志,但是这次发现在win11上清理不干净,报错太多了 wevtutil...el | Foreach-Object {wevtutil cl "$_" 2>$null} wevtutil cl security 2>$null wevtutil cl system 2>$null...下面这个Powershell代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志。...对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。...$logs = wevtutil el foreach ($log in $logs) { try { wevtutil cl $log } catch {
实操 1.使用Wevtutil命令清除事件日志 Wevtutil是一个系统工具,可以查找事件日志和发布者的详细信息,也可以使用此命令来安装和卸载事件清单,导出,归档和清除日志,是一个及其好用的系统日志管理工具...权限:管理员权限 命令:wevtutil cl 日志类型 比如这里我去清除安全日志: wevtutil cl security 就清除了安全日志,完全可以做成一个批处理程序,来批量清楚日志。...wevtutil cl security wevtutil cl Setup wevtutil cl System wevtutil cl Aplication wevtutil cl Forwarded
个人建议用下面导出日志的办法,cmd命令行执行wevtutil epl命令就行,epl是export-log的缩写,wevtutil epl和wevtutil export-log都行,例如 以日期命名...,格式须指定.evtx,分别导出安全日志、系统日志、应用日志 wevtutil epl Security C:\Security0420.evtx wevtutil epl System C:\System0420....evtx wevtutil epl Application C:\Application0420.evtx image.png 上面命令里的epl其实是export-log的缩写,例如 wevtutil...export-log Security C:\Security0421.evtx wevtutil export-log System C:\System0421.evtx wevtutil export-log
官网说明:wevtutil | Microsoft Learn wevtutil.exe是一个 Windows 命令行实用程序,用于管理事件日志和事件跟踪会话。...- wevtutil qe :查询指定事件日志中的事件(例如,wevtutil qe System)。...- wevtutil epl :将指定事件日志导出到文件(例如,wevtutil epl System system_log.evtx)。...- wevtutil cl :清除指定事件日志中的事件(例如,wevtutil cl System)。...- wevtutil ep :查询指定事件提供者的配置(例如,wevtutil ep Microsoft-Windows-Kernel-Power)。
本文以server08为例,示例脚本以powershell为主 适用人群:运维、安全 RDP登录方式: 爆破登录:多次登录失败&登录成功 管理员登录:账户密码、凭据 console模式登录 使用工具: wevtutil...EventID = '4624' AND SourceIP NOT IN ('';'-') AND LogonType = '10' ORDER BY timegenerated DESC" -o:CSV wevtutil...wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID...=4624)] and EventData[(Data[@Name='LogonType']='10')]]" wevtutil + powershell wevtutil epl Security ....wevtutil qe .
统计日志列表,查询所有日志信息,包含时间,数目 wevtutil.exe gli Application 查看指定类别的日志内容 wevtutil qe /f:text Application 删除该类日志所有内容...wevtutil cl Application 但清除完会留下1012或104的系统日志 获取最近十条日志 wevtutil.exe qe Security /f:text /rd:true /...c:10 日志导出过滤 wevtutil.exe epl Security 1.evtx 过滤分两种: 按日志号过滤: wevtutil epl Security 1.evtx "/q:*[System...=1112)]]" 通过加or语句 wevtutil epl Security 1.evtx "/q:*[System [(EventID>13032) or (EventRecordID<13030...)]]" 按时间过滤: wevtutil epl Security new.evtx "/q:*[System [TimeCreated[@SystemTime >'2021-09-08T17:21:
&1 > $null reg add "HKLM\SYSTEM\CurrentControlSet\Control\Network\NewNetworkWindowOff" /f 7、清理系统日志 wevtutil...el | Foreach-Object {wevtutil cl "$_" 2>$null} wevtutil cl security 2>$null wevtutil cl system 2>$null
二、windows 有远程桌面权限时手动删除日志: 开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志 wevtutil: wevtutil el 列出系统中所有日志名称...wevtutil cl system 清理系统日志wevtutil cl application 清理应用程序日志wevtutil cl security 清理安全日志 meterperter
@{logname='Application';}" 日志清理 最粗暴的方法应该就是直接删除C:\Windows\System32\winevt\Logs下面对应的日志文件了, 但是一般不会这么干 wevtutil.exe...: 用于检索有关时间日志和发布者的信息, 安装和卸载事件清单, 运行查询, 导出, 存档, 清除日志 wevtutil cl security #清除安全日志 wevtutil cl system...#清除系统日志 wevtutil cl application #清除引用日志 wevyuyil cl "windows powershell" #清除powershell日志 上面几个是比较需要关注的日志
/type A dnscmd 127.0.0.1 /zoneprint yoga.com >1.txt (3)用户目录 查看域内所有计算机的C:\users\目录下的文件夹(登陆过该计算机的用户) wevtutil...wevtutil常用的场景是清理日志。...可作为筛选分析日志的工具 ,4624(用户登录成功),4768、4776(用户验证成功) (4)域控日志 导出所有域控的登录日志,分析出用户的登录ip; wevtutil cl application...wevtutil cl security wevtutil cl system wevtutil cl "windows powershell" wevtutil qe security /q:"Event...[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat wevtutil
Wevtutil 命令介绍 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2...main() { char result[0x7ffff] = ""; // 存放结果 // 获取命令行返回值(保险起见这里获取 300 条日志信息) if (execmd("wevtutil
sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止sysmon的日志 停止sysmon日志:wevtutil...set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon...创建开机计划任务,停止sysmon的日志 schtasks /create /tn "forbid_sysmonlog" /ru SYSTEM /rl highest /tr "cmd.exe /c wevtutil
例如,Windows 事件日志工具wevtutil接受在任意位置插入某些范围内的 Unicode 字符的命令行。...因此执行wevtutil gli hardwareeventsandwevtutil gࢯlihardwareevents将产生完全相同的输出,尽管后者在第一个参数的中间包含一个阿拉伯字母。...成功执行的一个例子wevtutil gࢯlihardwareevents。 由于命令行提示的标准输入有时不支持可用于此技术的字符(例如,因为它们不可打印),您可能必须使用字节表示法插入字符。...有些程序采用与 Unix 类似的方法并接受单字母版本(例如cmdkey /lvs cmdkey /list),有些程序接受其他缩写版本(例如wevtutil glivs wevtutil get-loginfo
可以通过wevtutil gl security的方式来查看默认对security日志具有操作权限的账户 Windows 安全日志默认的权限如上图中标红的所示。...使用管理员身份打开CMD,运行wevtutil gl security,查看现有的channel access的权限列表 3....输入wevtutuil sl security /ca:0BAG:SYD: wevtutil sl Security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA...;;;S-1-5-32-559)其中标红的部分0X7表示赋予(1+2+4)也就是赋予该用户组可读、可写、可清除的权限,后面的SID为Perfmonce Log Users组的SID,赋予成功后可以使用wevtutil...epl System %BACKUP_PATH%\%Computername%_System_%_my_datetime%.evtx wevtutil epl Security %BACKUP_PATH
C:\Users\lyshark>wevtutil cl "windows powershell" C:\Users\lyshark>wevtutil cl "security" C:\Users\lyshark...>wevtutil cl "system"
,看到文件中有一个Log-Management的文件夹,进入之后查看一下有什么东西 job.bat文件的内容是什么 job.bat文件中的内容应该是与清理日志有关,只能用管理员用户运行,并且提到了wevtutil.exe...这个文件只能管理员运行,但是可以试试当前用户是否有权限对它进行修改:icacls job.bat 可以看到BUILTIN\USERS组全都可以控制文件 现在再看一下wevtutil是否在运行,可以通过命令...schtasks查看当前计划任务,但是有可能因为权限不足而看不到完整的计划任务 靶机命令行进入powershell ps一下,可以看到 wevtutil有可能正在运行 那么可以将nc弄到靶机上面去,
服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 2、Windows日志清除 参考:渗透技巧——Windows日志的删除与绕过 (1)wevtutil.exe...支持系统:Win7及以上 获取日志分类列表: wevtutil el >1.txt 获取单个日志类别的统计信息: wevtutil gli "windows powershell" 查看指定日志的具体内容...: wevtutil qe /f:text "windows powershell" 删除单个日志类别的所有信息: wevtutil cl "windows powershell" (2)NSA DanderSpiritz
cmd.exe /c del /F /Q C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\* 2>$null $logs = wevtutil...el foreach ($log in $logs) { try { wevtutil cl $log } catch { Write-Warning...userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt" 2>$null;wevtutil...cl Application;wevtutil cl System;wevtutil cl Security;shutdown -s -t 0; Remove-Item $MyInvocation.MyCommand.Path
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
