【监控实践】使用 wevtutil 获取windows系统日志

有时项目中可能会用到一些日志的配置信息。本文简单介绍一下安全日志的相关信息获取。
  首先,需要获取日志类别,用来进行之后本类别的日志详细信息查询:
  wevtutil el
  其中security即为安全日志类别

  wevtutil 命令参数如下

命令意义注释
el enum-logs 列出日志名称
gl get-log 获取日志配置信息
sl set-log 修改日志配置
ep enum-publishers 列出事件发布者
gp get-publisher 获取发布者配置信息
im install-manifest 从清单中安装事件发布者和日志
um uninstall-manifest 从清单中卸载事件发布者和日志
qe query-events 从日志或日志文件中查询事件
gli get-log-info 获取日志状态信息
epl export-log 导出日志
al archive-log 存档导出的日志
cl clear-log 清除日志

  导出 安全 日志的命令为:
  wevtutil epl security d:\security.evtx
  该命令将安全日志信息导出到d盘下的security.evtx文件

  查询 安全 日志的配置信息命令如下:
  wevtutil gl security
  结果(包含但不是全部) 属性如下:
   -name ------ 日志类别
  enabled ------ 是否禁用
  logging:
     logFileName ------ 日志文件保存路径
    retention ------ 是否保留
     autoBackup ------是否自动备份
     maxSize ------ 本类别日志最大容量

windows上面覆盖方式有三种:
按需要覆盖------ retention:false;autoBackup:false
满时存档,不覆盖------ retention:true;autoBackup:true
不覆盖,手动清除------ retention:true;autoBackup:false



作者:东方欲晓_莫道君行早
链接:https://www.jianshu.com/p/b7385b37c3d8
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 
参考:windows攻防渗透:https://www.secpulse.com/archives/75470.html
posted @ 2020-04-25 18:56  郭大侠1  阅读(4406)  评论(1编辑  收藏  举报