1.查看日志列表,找到你需要的日志信道名称
比如以这里要寻找的系统日志为例,要找到是否有 System
wevtutil enum-logs // 查看所有日志名称列表
显示的会有很多(如下)
aa.JPG
bb.JPG
2.使用条件找出对应信道信息
如下找出开机,关机,蓝屏和非正常关机,不同的事件用不同的id区分
wevtutil qe System /q:"Event/System/EventID=6005" /f:text // 开机事件
wevtutil qe System /q:"Event/System/EventID=6006" /f:text // 关机事件
wevtutil qe System /q:"Event/System/EventID=6008" /f:text // 蓝屏事件
wevtutil qe System /q:"Event/System/EventID=41" /f:text // 非正常关机
1.我们需要的是系统日志,所以用的是 System,
2.用 qe 找该类型的日志,
3./q 筛选你需要的条件,
4./f 是输出格式,不然输出的是 xml 的标签格式
输出大概是这样的:
cc.JPG
网友评论