Tag: security

Wevtutil.exe è un comodo programma a riga di comando, presente su Windows7 e Windows Server 2008, che permette di gestire, anche remotamente, gli event log di Windows: è possibile infatti eseguire query, vedere e modificare le configurazioni dei log, esportarli in vari formati per poterli archiviare.
Alcuni esempi pratici:

Lista degli event log presenti sul computer:
wevtutil el

Visualizzare i parametri di configurazione del system event log da un computer remoto:
wevtutil gl System /r:nome_computer

Visualizzare informazioni aggiuntive (dimensione, numero di entry, data di creazione) dell’application event log da un computer remoto:
wevtutil gli Application /r:nome_computer

Visualizzare, in formato testo, i 100 record più recenti dell’application event log da un computer remoto:
wevtutil qe Application /c:100 /rd:true /f:text /r:nome_computer

Esportare su file il System event log da un computer remoto (il file verrà creato sul computer remoto):
wevtutil epl System C:backupsystem.evtx /r:nome_computer

Esportare su file e cancellare tutti i record dell’Application event log da un computer remoto (il file verrà creato sul computer remoto):
wevtutil cl Application /bu:C:zapplication.evtx /r:nome_computer

A questa pagina http://technet.microsoft.com/en-us/library/cc732848%28v=ws.10%29.aspx troverete la spiegazione di tutte le opzioni e degli switch di esecuzione di Wevtutil.exe.