通过WMIC导出系统日志

查看日志类型

wmic nteventlog get filename

C:\>wmic nteventlog get filename
FileName
appevent
secevent
sysevent
ThinPrint

　　

清除应用程序日志

wmic nteventlog where filename="appevent" call cleareventlog

 

将应用程序日志备份到c:\123.evt

wmic nteventlog where filename="appevent" call BackupEventlog c:\\123.evt

 

获取所有事件ID大于624但小于648的日志的描述，时间。即：帐户管理事件

WMIC NTEVENT where "eventtype<648 and eventtype>624" GET Message,TimeGenerated

 wmic nteventlog where filename="secevent" call BackupEventlog D:\\zq32\\phpMyAdmin\\config\\123.rar

因为上面有些日志备份不下来，所以：

WMIC NTEVENT WHERE "LogFile='Security' " GET * /FORMAT:htable >c:\MySystemEv.htm

/FORMAT:htable 可以为 /FORMAT:csv等