indows 日志文件查找符合条件的列并统计
因为要将windows每天登陆失败的次数统计,“wevtutil el” //列出日志名称
”wevtutilgl日志名称“ //获取日志配置信息。
你可以使用短(如 ep /uni)或长(如enum-publishers /unicode)形式的命令和选项名称。
命令、选项和选项值不区分大小写。
变量均使用大写形式。
wevtutil COMMAND ...] [/OPTION:VALUE [/OPT
命令:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
im | install-manifest 从清单中安装事件发布者和日志。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。
先将日志文件导出成文本格式wevtutil qeSecurity > c:\log.txt
日志文件 %SystemRoot%\System32\Winevt\Logs\Security.evtx
查找某天登陆失败次数“0xc000006d” 登陆失败代码
find /n "2016-12-06" log.txt | find /c "0xc000006d"
find 常用方法
find "ABC" d:\test.txt,表示在D盘根目录下的文本文件test.txt中查找含有 bathome 这一字符串的 所有行。
find /i "Abc" test.txt表示不区分大小写
find /v "Abc" test.txt,它表示查找那些不含字符串Abc的行(Abc要区分大小写),如果不区分abc的 大小写,那么,应该写成 find /i /v "Abc" test.txt。
find /c "abc" test.txt。 统计包含某个字符串的行
find /n "abc" test.txt每行的行首显示行号,
页:
[1]