windows文件执行记录的获取与清除

文章目次

• 前言
  
• 日志查看
  
• 
  
  
  
  • 1. 进程创建记载
    
  • 2.Program Inventory Event Log
    
  • 3.Program-Telemetry Event Log
    
  • 4.查询特定类别日志
    
    
  
• 日志删除
  
• 
  
  
  
  • 1.删除全部的某类日志
    
  • 2.逐条删除日志
    
  • 
    
    
    
    • 2.1 导出Security
      
    • 2.2批量删除指定条目标日志
      
    • 2.3 还原evtx文件
      
      
    
    
  
• 绕过windows的日志记载功能
  
• 参考文章
  

前言

本文主要先容了如何使用下令行来获取大概清除文件执行记载等日志。对日志的删除需要在管理员权限下才可以，图形化界面查看日志的下令为eventvwr。
日志查看

1. 进程创建记载

进程创建记载事件id一般为(592/4688)，可以通过下令行的下令举行查看：

1. wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"

复制代码

2.Program Inventory Event Log

主要用于记载软件运动摘要、安装的步伐、安装的Internet Explorer加载项、更新的应用步伐、已删除的应用步伐，相关事件id如下：

  800 (summary of software activities)
900 & 901 (new Internet Explorer add-on)
903 & 904 (new application installation)
905 (updated application)
907 & 908 (removed application)

查询下令：

1. wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Inventory

复制代码

3.Program-Telemetry Event Log

在应用步伐启动时为应用步伐处理惩罚应用步伐兼容性缓存请求，相关事件id:500/505

1. wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Telemetry

复制代码

4.查询特定类别日志

日志一共分五种：

  application
security
setup
system
forwarded events

#查询应用日志的方法

1. wevtutil qe /f:text Application

复制代码

#查询应用日志的整体状态信息

1. wevtutil gli Application

复制代码

日志删除

1.删除全部的某类日志

#删除全部的应用日志

1. wevtutil gli Applicationwevtutil cl Applicationwevtutil gli Application

复制代码

2.逐条删除日志

2.1 导出Security

#这条下令可以导出日志文件，下面的wevtutil epl下令也会导出，所以执行下面的下令的时候不消事先导出日志文件。

1. wevtutil.exe epl Security 1.evtx

复制代码

2.2批量删除指定条目标日志

  #删除security下指定eventrecordID的日志记载

[code]wevtutil epl Security 1.evtx "/q:*[System [(EventRecordID>13032) or (EventRecordID'2020-12-28T09:09:35' or @SystemTime