wevtutil : consulter les fichier journal évènements de Windows en ligne de commandes

WEVTUTIL.exe est un outil intégré qui vous permet de récupérer des informations sur les journaux d’événements et les éditeurs. Vous pouvez également utiliser cette commande pour installer et désinstaller des manifestes d’événements, pour exécuter des requêtes et pour exporter, archiver et effacer des journaux.

Voici les principales fonctionnalités de cet utilitaire en ligne de commandes :

• Récupérer des informations des journaux d’événements Windows
• Archiver les journaux dans un format autonome
• Énumérer les journaux disponibles
• Installer et désinstaller des manifestes d’événements.
• Exécuter des requêtes
• Exporter des événements (à partir d’un journal d’événements, d’un fichier journal ou à l’aide d’une requête structurée) vers un fichier spécifié
• Effacer les journaux d’événements

Dans ce tutoriel, je vous montre comment utiliser wevutil afin de gérer les journaux d’évènements de Windows.

Comment utiliser wevtutil pour gérer le journal d’évènement de Windows

Répertorier les noms des journaux

Pour lister les journaux Windows, utilisez la commande el ou enum-logs.

wevtutil el

wevtutil enum-logs

Afficher les évènements d’un journal

Utilisez ensuite la commande qe ou query-events pour interroger un journal et afficher les évènements.
La syntaxe est la suivante :

wevtutil qe <nom du journal>

Par exemple, pour afficher les évènements du journal Application :

wevtutil qe Application

Des paramètres sont disponibles pour spécifier le nombre.
L’exemple suivant affiche les trois événements les plus récents à partir du journal des applications en utilisant le format texte.

wevtutil qe Application /c:3 /rd:true /f:text

• /c ou /count – Nombre maximal d’événements à lire
• /rd – Ordre de lecture des événements. Si la valeur est true, les événements les plus récents sont retournés en premier
• /f ou /format – Format de sortie. La valeur par défaut est XML mais vous pouvez spécifier text

Afficher la liste des évènements en filtrant sur un ID d’évènements

Vous devez chercher des évènements spécifiques dans les journaux d’évènements de Windows ?
Cela est possible avec wevtutil.
Pour filtrer sur un ID d’évènements, utilisez l’option /q de la commande query-events.

wevtutil qe <nom du journal> /q:"<ID Evenements>"

Par exemple, rechercher les 20 derniers événements de démarrage dans le journal du système :

wevtutil query-events System /c:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

Obtenir les informations de configuration des journaux

Vous pouvez aussi afficher des informations sur la configuration d’un journal Windows à l’aide des commandes gl ou get-log.

wevtutil gl <nom journal Windows>

wevtutil get-log <nom journal Windows>

Vous obtenez les informations suivantes :

• Le nom du journal
• Son état actif ou inactif
• Le type
• L’éditeur
• L’emplacement des fichiers du journal système

Pour afficher la sortie au format XML, ajoutez /f:xml comme ceci :

wevtutil gl System /f:xml

Obtenir les informations d’état d’un journal

Pour obtenir les informations d’état d’un journal, utilisez l’option gli ou get-log-info.
Par exemple, pour afficher l’état du journal Application :

wevtutil gli Application

Les dates de création, accès et dernière modifications s’affichent.
De plus, vous obtenez les informations de taille du journal et le nombre d’éléments.

Modifier la configuration d’un journal

Vous pouvez modifier la configuration d’un journal Windows en appliquant la configuration provenant d’un fichier XML.
Pour cela, vous devez utiliser la commande sl et spécifier le fichier à l’aide du paramètre /c.

wevtutil sl /c:config.xml

Effacer un journal d’évènement

Pour effacer un journal d’évènement, utilisez l’option cl ou clear-log en spécifiant le nom du journal.
Par exemple pour effacer le journal Système :

wevtutil cl System

Répertorier les éditeurs d’événements

Les commandes ep ou enum-publishers vous donne la possibilité de répertorier les éditeurs d’événements.

wevtutil ep
wevtutil enum-publishers

Obtenir les informations de configuration des éditeurs

Avec la commande gp ou get-publisher, vous pouvez obtenir les informations de configuration des éditeurs.

wevtutil gp "Application Error" /ge:true

Installer les éditeurs et les journaux des événements à partir d’un manifeste

Utilisez les options im ou install-manifest pour installer les éditeurs et les journaux des événements à partir d’un manifeste.

wevtutil im FichierManifest.xml

Désinstaller les éditeurs et les journaux des événements à partir d’un manifeste

Pour désinstaller les éditeurs et les journaux des événements à partir d’un manifeste, utilisez l’option um ou uninstall-manifest comme ceci :

wevtutil um FichierManifest.xml

Exporter un journal

La commande wevtutil, vous permet d’exporter un journal système à l’aide de la commande epl ou export-log.
Par exemple, pour exporter le journal système vers un fichier evtx :

wevtutil epl System C:\backup\system0506.evtx

Archiver un journal export

Archiver le fichier journal dans un format autonome gràce à la commande al ou archive-log.
Lorsque le répertoire créé par la commande archive-log est présent en même temps que le fichier journal, les événements du fichier peuvent être affichés même si l’éditeur qui les a générés n’est pas installé.

wevtutil al <nom journal Windows>