通过WMIC导出系统日志
查看日志类型
wmic nteventlog get filename
C:\>wmic nteventlog get filename FileName appevent secevent sysevent ThinPrint
清除应用程序日志
wmic nteventlog where filename="appevent" call cleareventlog
将应用程序日志备份到c:\123.evt
wmic nteventlog where filename="appevent" call BackupEventlog c:\\123.evt
获取所有事件ID大于624但小于648的日志的描述,时间。即:帐户管理事件
WMIC NTEVENT where "eventtype<648 and eventtype>624" GET Message,TimeGenerated
wmic nteventlog where filename="secevent" call BackupEventlog D:\\zq32\\phpMyAdmin\\config\\123.rar
因为上面有些日志备份不下来,所以:
WMIC NTEVENT WHERE "LogFile='Security' " GET * /FORMAT:htable >c:\MySystemEv.htm
/FORMAT:htable 可以为 /FORMAT:csv等