- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
语法参数: # 语法 wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT] wevtutil COMMAND /? wevtutil el # 列出日志名称 Application / System / Secuirty wevtutil ep # 列出当前计算机上的事件发布者(即谁发出的 wevtutil gl System /f:xml wevtutil gl System /f:Text weiyigeek.top-查询Intel-USB3.0对象提供日志配置信息 2.查询所有认证登录 wevtutil qe Application /c:3 /rd:true /f:text # 查看系统关闭和开启时间日志(注意与真实时间相差+8小时),只显示前三条 wevtutil qe System wevtutil cl security wevtutil cl system wevtutil cl application wevtutil cl setup 4.设置日志记录策略以及大小。
2.2K10编辑于 2024-04-17 - 来自专栏全栈工程师修炼之路
系统日志信息查看一览表
基础语法: wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT] wevtutil COMMAND /? (效果同上) wevtutil gl 日志名称 #获取日志配置信息。 cl security wevtutil cl system wevtutil cl application WeiyiGeek. #3.使用文本格式显示应用程序日志中的三个最近的事件。 wevtutil qe Application /c:3 /rd:true /f:text #4.系统关闭和开启时间记录(注意/q需要采用XPATH路径) wevtutil qe System /c: wevtutil gl System /f:xml wevtutil gl System /f:Text #6.进行日志记录设置 wevtutil sl Application /fm:16 /l:10
1.2K20编辑于 2022-09-28 - 来自专栏Windows技术交流
win11系统的安全性真牛逼
而是"其他用户",强制让手输Administrator用户名和密码,这是微软出于安全性考虑 2、清空系统日志时清不干净 我平时用这个命令清空系统日志,但是这次发现在win11上清理不干净,报错太多了 wevtutil el | Foreach-Object {wevtutil cl "$_" 2>$null} wevtutil cl security 2>$null wevtutil cl system 2>$null 下面这个Powershell代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志。 对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。 $logs = wevtutil el foreach ($log in $logs) { try { wevtutil cl $log } catch {
95720编辑于 2024-06-20 - 来自专栏Gamma安全实验室
红队战术-躲避日志检查
实操 1.使用Wevtutil命令清除事件日志 Wevtutil是一个系统工具,可以查找事件日志和发布者的详细信息,也可以使用此命令来安装和卸载事件清单,导出,归档和清除日志,是一个及其好用的系统日志管理工具 权限:管理员权限 命令:wevtutil cl 日志类型 比如这里我去清除安全日志: wevtutil cl security 就清除了安全日志,完全可以做成一个批处理程序,来批量清楚日志。 wevtutil cl security wevtutil cl Setup wevtutil cl System wevtutil cl Aplication wevtutil cl Forwarded
1.3K20发布于 2021-04-28 - 来自专栏Windows技术交流
导出系统日志发给技术支持协助分析
个人建议用下面导出日志的办法,cmd命令行执行wevtutil epl命令就行,epl是export-log的缩写,wevtutil epl和wevtutil export-log都行,例如 以日期命名 ,格式须指定.evtx,分别导出安全日志、系统日志、应用日志 wevtutil epl Security C:\Security0420.evtx wevtutil epl System C:\System0420 .evtx wevtutil epl Application C:\Application0420.evtx image.png 上面命令里的epl其实是export-log的缩写,例如 wevtutil export-log Security C:\Security0421.evtx wevtutil export-log System C:\System0421.evtx wevtutil export-log
2.3K50编辑于 2022-02-16 ETW - 事件提供者(Event Provider)
官网说明:wevtutil | Microsoft Learn wevtutil.exe是一个 Windows 命令行实用程序,用于管理事件日志和事件跟踪会话。 - wevtutil qe <LogName>:查询指定事件日志中的事件(例如,wevtutil qe System)。 - wevtutil epl <LogName> <FileName>:将指定事件日志导出到文件(例如,wevtutil epl System system_log.evtx)。 - wevtutil cl <LogName>:清除指定事件日志中的事件(例如,wevtutil cl System)。 - wevtutil ep <ProviderName>:查询指定事件提供者的配置(例如,wevtutil ep Microsoft-Windows-Kernel-Power)。
1.6K10编辑于 2024-07-15- 来自专栏betasec
安全运维 | RDP登录日志取证和清除
本文以server08为例,示例脚本以powershell为主 适用人群:运维、安全 RDP登录方式: 爆破登录:多次登录失败&登录成功 管理员登录:账户密码、凭据 console模式登录 使用工具: wevtutil EventID = '4624' AND SourceIP NOT IN ('';'-') AND LogonType = '10' ORDER BY timegenerated DESC" -o:CSV wevtutil wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID =4624)] and EventData[(Data[@Name='LogonType']='10')]]" wevtutil + powershell wevtutil epl Security . wevtutil qe .
3.5K30编辑于 2023-02-25 - 来自专栏安全学习记录
痕迹清除-Windows日志清除绕过
统计日志列表,查询所有日志信息,包含时间,数目 wevtutil.exe gli Application 查看指定类别的日志内容 wevtutil qe /f:text Application 删除该类日志所有内容 wevtutil cl Application 但清除完会留下1012或104的系统日志 获取最近十条日志 wevtutil.exe qe Security /f:text /rd:true / c:10 日志导出过滤 wevtutil.exe epl Security 1.evtx 过滤分两种: 按日志号过滤: wevtutil epl Security 1.evtx "/q:*[System =1112)]]" 通过加or语句 wevtutil epl Security 1.evtx "/q:*[System [(EventID>13032) or (EventRecordID<13030 )]]" 按时间过滤: wevtutil epl Security new.evtx "/q:*[System [TimeCreated[@SystemTime >'2021-09-08T17:21:
5.3K20编辑于 2022-12-26 - 来自专栏网络安全
Windows事件日志终极指南
2.访问方法:wevtutil.exe(命令行)(AccessMethod2:wevtutil.exe)wevtutil.exe是一个强大的原生命令行工具,用于查询、导出、归档和清除事件日志。 获取帮助:Codesnippet展开代码语言:TXTAI代码解释::查看所有可用命令wevtutil.exe/?::查看特定命令的帮助(例如qe-query-events)wevtutilqe/? PowerShell**:PowerShell展开代码语言:TXTAI代码解释Get-WinEvent-LogNameApplication-FilterXPath'*/System/EventID=100'-**wevtutil.exe **:Codesnippet展开代码语言:TXTAI代码解释wevtutil.exeqeApplication/q:*/System[EventID=100]/f:text/c:1按属性查询(如提供程序名称
95220编辑于 2025-12-07 - 来自专栏Windows技术交流
cloudbase-init的启动模式为.\cloudbase-init存在隐患
>&1 > $null reg add "HKLM\SYSTEM\CurrentControlSet\Control\Network\NewNetworkWindowOff" /f 7、清理系统日志 wevtutil el | Foreach-Object {wevtutil cl "$_" 2>$null} wevtutil cl security 2>$null wevtutil cl system 2>$null
1.7K20编辑于 2025-05-14 - 来自专栏闪石星曜CyberSecurity
后渗透阶段清理痕迹方式总结
二、windows 有远程桌面权限时手动删除日志: 开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志 wevtutil: wevtutil el 列出系统中所有日志名称 wevtutil cl system 清理系统日志wevtutil cl application 清理应用程序日志wevtutil cl security 清理安全日志 meterperter
1.6K20发布于 2021-04-16 - 来自专栏h0cksr的小屋
Windows痕迹清除|内网渗透学习(十三)
@{logname='Application';}" 日志清理 最粗暴的方法应该就是直接删除C:\Windows\System32\winevt\Logs下面对应的日志文件了, 但是一般不会这么干 wevtutil.exe : 用于检索有关时间日志和发布者的信息, 安装和卸载事件清单, 运行查询, 导出, 存档, 清除日志 wevtutil cl security #清除安全日志 wevtutil cl system #清除系统日志 wevtutil cl application #清除引用日志 wevyuyil cl "windows powershell" #清除powershell日志 上面几个是比较需要关注的日志
1.3K21编辑于 2023-05-18 - 来自专栏今天有没有多懂一点工业安全
Windows 命令行混淆
例如,Windows 事件日志工具wevtutil接受在任意位置插入某些范围内的 Unicode 字符的命令行。 因此执行wevtutil gli hardwareeventsandwevtutil gࢯlihardwareevents将产生完全相同的输出,尽管后者在第一个参数的中间包含一个阿拉伯字母。 成功执行的一个例子wevtutil gࢯlihardwareevents。 由于命令行提示的标准输入有时不支持可用于此技术的字符(例如,因为它们不可打印),您可能必须使用字节表示法插入字符。 有些程序采用与 Unix 类似的方法并接受单字母版本(例如cmdkey /lvs cmdkey /list),有些程序接受其他缩写版本(例如wevtutil glivs wevtutil get-loginfo
1.2K10编辑于 2022-05-10 - 来自专栏啄木鸟软件测试
内网渗透基石篇—信息收集(下)
/type A dnscmd 127.0.0.1 /zoneprint yoga.com >1.txt (3)用户目录 查看域内所有计算机的C:\users\目录下的文件夹(登陆过该计算机的用户) wevtutil wevtutil常用的场景是清理日志。 可作为筛选分析日志的工具 ,4624(用户登录成功),4768、4776(用户验证成功) (4)域控日志 导出所有域控的登录日志,分析出用户的登录ip; wevtutil cl application wevtutil cl security wevtutil cl system wevtutil cl "windows powershell" wevtutil qe security /q:"Event [System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat wevtutil
2.5K20发布于 2021-05-17 C/C++ 查询系统日志
Wevtutil 命令介绍 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2 main() { char result[0x7ffff] = ""; // 存放结果 // 获取命令行返回值(保险起见这里获取 300 条日志信息) if (execmd("wevtutil
1.4K10编辑于 2022-12-28- 来自专栏Windows技术交流
关于sysmon
sysmon也在不断监测系统并记录日志,因此有持续不断的IO 参考这个录屏文件 3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响 可以通过命令停止sysmon的日志 停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false 启用sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon 创建开机计划任务,停止sysmon的日志 schtasks /create /tn "forbid_sysmonlog" /ru SYSTEM /rl highest /tr "cmd.exe /c wevtutil
62620编辑于 2024-08-20 - 来自专栏HackTheBox渗透学习记录
XXE到提权 - 起始点
,看到文件中有一个Log-Management的文件夹,进入之后查看一下有什么东西 job.bat文件的内容是什么 job.bat文件中的内容应该是与清理日志有关,只能用管理员用户运行,并且提到了wevtutil.exe 这个文件只能管理员运行,但是可以试试当前用户是否有权限对它进行修改:icacls job.bat 可以看到BUILTIN\USERS组全都可以控制文件 现在再看一下wevtutil是否在运行,可以通过命令 schtasks查看当前计划任务,但是有可能因为权限不足而看不到完整的计划任务 靶机命令行进入powershell ps一下,可以看到 wevtutil有可能正在运行 那么可以将nc弄到靶机上面去,
89320编辑于 2022-03-08 - 来自专栏云计算-私有云
使用非管理员实现系统事件日志的自动备份与清除
可以通过wevtutil gl security的方式来查看默认对security日志具有操作权限的账户 Windows 安全日志默认的权限如上图中标红的所示。 使用管理员身份打开CMD,运行wevtutil gl security,查看现有的channel access的权限列表 3. 输入wevtutuil sl security /ca:0BAG:SYD: wevtutil sl Security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA ;;;S-1-5-32-559)其中标红的部分0X7表示赋予(1+2+4)也就是赋予该用户组可读、可写、可清除的权限,后面的SID为Perfmonce Log Users组的SID,赋予成功后可以使用wevtutil epl System %BACKUP_PATH%\%Computername%_System_%_my_datetime%.evtx wevtutil epl Security %BACKUP_PATH
2.2K30发布于 2019-02-28 PowerShell 反弹渗透技巧
C:\Users\lyshark>wevtutil cl "windows powershell" C:\Users\lyshark>wevtutil cl "security" C:\Users\lyshark >wevtutil cl "system"
1.1K20编辑于 2022-12-28- 来自专栏kayden
痕迹清理方法小结
服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 2、Windows日志清除 参考:渗透技巧——Windows日志的删除与绕过 (1)wevtutil.exe 支持系统:Win7及以上 获取日志分类列表: wevtutil el >1.txt 获取单个日志类别的统计信息: wevtutil gli "windows powershell" 查看指定日志的具体内容 : wevtutil qe /f:text "windows powershell" 删除单个日志类别的所有信息: wevtutil cl "windows powershell" (2)NSA DanderSpiritz
1.8K10编辑于 2022-09-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号