请选择 进入手机版 | 继续访问电脑版

windows文件执行记录的获取与清除

[复制链接]
三兄弟沙发谢洪江 发表于 2020-12-31 20:26:15 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文章目次



前言

本文主要先容了如何使用下令行来获取大概清除文件执行记载等日志。对日志的删除需要在管理员权限下才可以,图形化界面查看日志的下令为eventvwr。
日志查看

1. 进程创建记载

进程创建记载事件id一般为(592/4688),可以通过下令行的下令举行查看:
  1. wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"
复制代码

2.Program Inventory Event Log

主要用于记载软件运动摘要、安装的步伐、安装的Internet Explorer加载项、更新的应用步伐、已删除的应用步伐,相关事件id如下:
  800 (summary of software activities)
900 & 901 (new Internet Explorer add-on)
903 & 904 (new application installation)
905 (updated application)
907 & 908 (removed application)
查询下令:
  1. wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Inventory
复制代码
3.Program-Telemetry Event Log

在应用步伐启动时为应用步伐处理惩罚应用步伐兼容性缓存请求,相关事件id:500/505
  1. wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Telemetry
复制代码

4.查询特定类别日志

日志一共分五种:
  application
security
setup
system
forwarded events

#查询应用日志的方法
  1. wevtutil qe /f:text Application
复制代码
#查询应用日志的整体状态信息
  1. wevtutil gli Application
复制代码
日志删除

1.删除全部的某类日志

#删除全部的应用日志
  1. wevtutil gli Applicationwevtutil cl Applicationwevtutil gli Application
复制代码

2.逐条删除日志

2.1 导出Security

#这条下令可以导出日志文件,下面的wevtutil epl下令也会导出,所以执行下面的下令的时候不消事先导出日志文件。
  1. wevtutil.exe epl Security 1.evtx
复制代码
2.2批量删除指定条目标日志

  #删除security下指定eventrecordID的日志记载
[code]wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID'2020-12-28T09:09:35' or @SystemTime
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


专注素材教程免费分享
全国免费热线电话

18768367769

周一至周日9:00-23:00

反馈建议

27428564@qq.com 在线QQ咨询

扫描二维码关注我们

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 蜀ICP备2021001884号-1 )