윈도우 이벤트 로그 분석-이벤트 관리도구(wevtutil)

wevtutil은 Window OS에서 제공하는 CLI(Command Line Interface) 이벤트 로그 관리 도구이다.

 

1. 명령어 개요

 

명령과 옵션

옵션	설명
/f:<형식 >	출력 XML 또는 텍스트 형식으로이 되도록 지정 합니다. 경우 <형식 >는 XML 출력은 XML 형식으로 표시 됩니다. 경우 <형식 >은 텍스트 출력 XML 태그 없이 표시 됩니다. 기본값은 Text입니다.
/e:<사용 >	로그를 사용 하지 않도록 설정 하거나 사용 합니다. <설정 > true 또는 false 일 수 있습니다.
/i:<격리 >	로그 격리 모드를 설정합니다. <격리 > 시스템, 응용 프로그램 또는 사용자 지정 될 수 있습니다. 격리 모드는 로그의 로그는 같은 격리 클래스의 다른 로그 세션을 공유 하는지 여부를 결정 합니다. 대상 로그 공유 시스템 격리를 지정 하는 경우 시스템 로그를 사용 하 여 권한 쓰기입니다. 대상 로그 공유 응용 프로그램 격리를 지정 하면 응용 프로그램 로그를 사용 하 여 권한 쓰기입니다. 사용 하 여 보안 설명자를 제공 해야 사용자 지정 격리를 지정 하는 경우는 /ca 옵션입니다.
/lfn:<Logpath>	로그 파일 이름을 정의합니다. <Logpath > 이벤트 로그 서비스에서이 로그에 대 한 이벤트를 저장 하는 위치 파일에 전체 경로입니다.
/rt:<보존 >	로그 보존 모드를 설정합니다. <보존 > true 또는 false 일 수 있습니다. 로그 보존 모드 로그 최대 크기에 도달할 때 이벤트 로그 서비스의 동작을 결정 합니다. 이벤트 로그에는 최대 크기에 도달 하는 경우 로그 보존 모드가 true 기존 이벤트를 보존할 하 고 들어오는 이벤트는 삭제 됩니다. 로그 보존 모드 false 이면 들어오는 이벤트 로그에서 가장 오래 된 이벤트를 덮어씁니다.
/ab:<자동 >	로그 자동 백업 정책을 지정합니다. <자동 > true 또는 false 일 수 있습니다.이 값이 true 이면 로그는 백업할 자동으로 최대 크기에 도달 하면 합니다.이 값이 true 이면 보존 (지정 된 고 /rt 옵션) 설정 해야 true로 합니다.
/ms:<MaxSize>	로그의 최대 크기를 바이트 단위로 설정 합니다. 최소 로그 크기는 1048576 바이트 (1024KB) 및 로그 파일은 항상 64KB의 배수로 입력 되므로 반올림 됩니다 적절 하 게 합니다.
/l:<수준 >	로그 수준 필터를 정의합니다. <수준 > 유효한 수준 값이 될 수 있습니다. 이 옵션은 전용된 세션을 사용 하 여 로그에 적용할 수만 있습니다. 설정 하 여 수준 필터를 제거할 수 0입니다.
/k:<Keywords>	로그의 키워드 필터를 지정합니다. <키워드 > 모든 유효한 64 비트 키워드 마스크 될 수 있습니다. 이 옵션은 전용된 세션을 사용 하 여 로그에 적용할 수만 있습니다.
/ca:<채널 >	이벤트 로그에 대 한 액세스 권한을 설정합니다. <채널 > 보안 설명자 정의 언어 (SDDL)를 사용 하는 보안 설명자가 있습니다. SDDL 형식에 대 한 자세한 내용은 Microsoft 개발자 네트워크 (MSDN) 웹 사이트를 참조 하세요. (https://msdn.microsoft.com).
/c:<Config>	구성 파일의 경로를 지정합니다. 이 옵션에 정의 된 구성 파일에서 읽을 로그 속성 하면 <구성 >. 하는 경우이 옵션을 사용 하면를 지정 하지는 매개 변수입니다. 로그 이름은 구성 파일에서 읽힙니다.
/ge:<메타 데이터 >	이 게시자가 발생할 수 있는 이벤트에 대 한 메타 데이터 정보를 가져옵니다. <메타 데이터 > true 또는 false 일 수 있습니다.
/gm:<Message>	숫자 메시지 id입니다. 대신 실제 메시지를 표시합니다. <메시지 > true 또는 false 일 수 있습니다.
/lf:<Logfile>	로그 파일 또는 로그에서 이벤트를 읽어들여야 함을 지정 합니다. <로그 파일 > true 또는 false 일 수 있습니다. True 이면 명령에 매개 변수는 로그 파일의 경로입니다.
/sq:<Structquery>	이벤트는 구조화 된 쿼리로 변수를 지정 합니다. <Structquery > true 또는 false 일 수 있습니다. True 이면 경로 구조적된 쿼리를 포함 하는 파일입니다.
/q:<Query>	읽거나 내보낸 있는 이벤트를 필터링 하려면 XPath 쿼리를 정의 합니다. 이 옵션을 지정 하지 않으면 모든 이벤트가 반환 되거나 내보낸 됩니다. 이 옵션 사용할 수 없는 경우 /sq 그렇습니다.
/bm:<책갈피 >	이전 쿼리에서 책갈피가 있는 파일의 경로를 지정 합니다.
/sbm:<Savebm >	이 쿼리는 책갈피를 저장 하는 데 사용 되는 파일의 경로를 지정 합니다. 파일 이름 확장명은.xml 이어야 합니다.
/rd:<방향 >	이벤트를 읽고 방향을 지정 합니다. <방향 > true 또는 false 일 수 있습니다.True 인 경우, 가장 최근의 이벤트 먼저 반환 됩니다.
/l:<로캘 >	특정 로캘의 이벤트 텍스트를 인쇄 하는 데 사용 되는 로캘 문자열을 정의 합니다. 이벤트 형식을 사용 하 여 텍스트를 인쇄할 때만 사용할 수는 /f 옵션입니다.
/c:<Count>	읽을 수 있는 이벤트의 최대 수를 설정 합니다.
/e:<요소 >	XML에서 이벤트를 표시할 때 루트 요소가 포함 됩니다. <요소 > 루트 요소 내에서 원하는 된 문자열입니다. 예를 들어 /e:root 인해 XML 루트 요소 쌍이 포함 된 <루트 >합니다.
/ow:<덮어쓰기 >	내보내기 파일을 덮어쓰도록 지정 합니다. <덮어쓰기 > true 또는 false 일 수 있습니다. True 및 내보내기 파일에 지정 된 경우 이미 확인 하지 않고 덮어씁니다.
/bu:<Backup>	지운된 이벤트를 저장할 파일의 경로를 지정 합니다. 백업 파일의 이름을.evtx 확장명을 포함 합니다.
r:<원격 >	원격 컴퓨터에서 명령을 실행 합니다. <원격 > 원격 컴퓨터의 이름입니다.im 및 um 매개 변수는 원격 작업을 지원 하지 않습니다.
/u:<사용자 이름 >	원격 컴퓨터에 로그온 하는 다른 사용자를 지정 합니다. <사용자 이름 > 양식 도메인 \ 사용자 또는 사용자의 사용자 이름이 있습니다. 이 옵션은만 적용 될 때의 /r 옵션을 지정 합니다.
/p:<암호 >	사용자에 대 한 암호를 지정합니다. 경우는 /u 옵션을 사용 하 고이 옵션을 지정 하지 또는 <암호 >는 " ", 사용자 암호를 입력 하 라는 메시지가 표시 됩니다. 이 옵션은만 적용 될 때 합니다 * */u * 옵션을 지정 합니다.
>batchsettings-&lt<Auth >	원격 컴퓨터에 연결 하기 위한 인증 유형을 정의 합니다. <Auth > 기본, Negotiate, Kerberos 또는 NTLM을 수 있습니다. 기본값은 협상 합니다.
/uni:<Unicode>	유니코드로 출력을 표시합니다. <유니코드 > true 또는 false 일 수 있습니다. 경우 유니코드로 출력은 그렇습니다.

2. 예제

2.1 조회 가능한 이벤트 로그 목록

C:\WINDOWS\system32>wevtutil el
AMSI/Debug
AMSI/Operational
AirSpaceChannel
Analytic
Application
CxAudioSvcLog
CxMonSvcLog
DebugChannel
DirectShowFilterGraph
DirectShowPluginControl
Els_Hyphenation/Analytic
EndpointMapper
FirstUXPerf-Analytic
ForwardedEvents
General Logging
HardwareEvents

......

 

2.2 이벤트 로그 파일 메타데이터 조회

C:\WINDOWS\system32>wevtutil gli Microsoft-Windows-TerminalServices-ServerUSBDevices/Operational
creationTime: 2020-03-03T01:09:31.423Z
lastAccessTime: 2020-03-03T01:09:31.424Z
lastWriteTime: 2020-03-03T01:09:31.424Z
fileSize: 69632
attributes: 2080
numberOfLogRecords: 0
oldestRecordNumber: 0

 

2.3 이벤트 로그 조회

wevtutil 명령을 통해 이벤트 로그를 조회하면 아래와 같이 결과가 기본적으로 xml type이다.

C:\WINDOWS\system32>wevtutil qe security

일반 텍스트 형태로 조회

C:\WINDOWS\system32>wevtutil qe security /f:text

최근 N개의 이벤트 조회

C:\WINDOWS\system32>wevtutil qe security /rd:true /c:3 /f:text

 

특정 이벤트ID 조회

wevtutil qe /rd System /q:"*[System[Provider[@Name='Microsoft-Windows-Perflib'] and (EventID=1023)]]" /uni:false /f:text

 

특정 날짜 이벤트 조회

wevtutil qe Security "/q:*[System[TimeCreated[@SystemTime>='2019-07-01T00:00:00' and @SystemTime<='2019-07-10T00:00:00']]]" /f:text /rd:true /c:3

 

특정 이벤트ID의 특정 날짜 이벤트 조회

wevtutil qe Security "/q:*[System[ EventID = 4624 and TimeCreated[@SystemTime>='2018-07-01T00:00:00' and @SystemTime<='2019-07-10T00:00:00']]]" /f:text /rd:true /c:1

 

2.4 이벤트 로그 내보내기

evtx 파일로 내보내기 

wevtutil epl System f:\temp\system_event.evtx

 

텍스트 파일로 내보내기

wevtutil qe System /f:text > f:\temp\system_event.txt