Wevtutil gebruiken in Windows 11 of 10

Event Viewer is een bekend hulpmiddel in Windows 11 om logboeken te bekijken, maar wist u dat er ook een commando bestaat waarmee u dezelfde logboeken rechtstreeks vanuit het Opdrachtprompt kunt beheren?

Dit commando heet: wevtutil.

Het is vooral handig voor systeembeheerders en specifieke gebruikers die informatie willen opvragen, exporteren of automatiseren zonder de grafische interface van de Event Viewer te openen.

Wevtutil gebruiken in Windows 11 of 10

Wat is wevtutil?

Wevtutil staat voor Windows Events Utility en is een ingebouwd Windows commando waarmee u logboeken kunt beheren.

Met wevtutil kunt u onder andere:

• Alle beschikbare logboeken weergeven.
• Specifieke logboeken uitlezen.
• Resultaten filteren en in verschillende formaten tonen.
• Logboeken exporteren om verder te analyseren.
• Oude logboeken opschonen.

Wevtutil werkt in zowel Opdrachtprompt als PowerShell.

Wevtutil openen

U kunt Wevtutil openen in het Opdrachtprompt of PowerShell.

Wevtutil commando’s met voorbeelden

el (enum-logs)

Hiermee vraagt u een lijst op van alle beschikbare logboeken in Windows.

Voorbeeld:

wevtutil el

Dit toont bijvoorbeeld logboeken zoals System, Application, Security, Setup, enz.

gl (get-log)

Hiermee kunt u de configuratiegegevens van een logboek bekijken, zoals de maximale grootte en het pad van het logbestand.

Voorbeeld:

wevtutil gl System

Dit toont de instellingen van het logboek System.

sl (set-log)

Hiermee kunt u instellingen van een logboek wijzigen, zoals de maximale grootte of retentie.

Voorbeeld:

wevtutil sl System /ms:20971520

Dit stelt de maximale grootte van het System-logboek in op 20 MB.

ep (enum-publishers)

Toont een lijst van alle event publishers (bronnen) die gebeurtenissen naar de logboeken schrijven.

Voorbeeld:

wevtutil ep

Hiermee ziet u bijvoorbeeld publishers als Microsoft Windows Kernel-Power of Microsoft Windows-GroupPolicy.

gp (get-publisher)

Hiermee kunt u informatie opvragen van een specifieke publisher.

Voorbeeld:

wevtutil gp Microsoft-Windows-Kernel-Power

Dit toont de configuratiegegevens van deze publisher.

im (install-manifest)

Installeert nieuwe event publishers en logboeken vanuit een manifestbestand (.manifest of .dll).

Voorbeeld:

wevtutil im C:\logs\pctips.manifest

Dit voegt een logboek en publisher toe op basis van het manifestbestand.

um (uninstall-manifest)

Verwijdert event publishers en logboeken die via een manifest zijn geïnstalleerd.

Voorbeeld:

wevtutil um C:\logs\pctips.manifest

Dit verwijdert de eerder geïnstalleerde logboeken en publishers die in het manifest staan.

query-events

Vraagt gebeurtenissen uit een logboek of logbestand op.

Voorbeeld:

wevtutil query-events System /c:10 /f:text

Dit toont de laatste 10 gebeurtenissen uit het System log in tekstformaat.

gli (get-log-info)

Hiermee kunt u statusinformatie van een logboek opvragen, zoals of het actief is en hoeveel gebeurtenissen het bevat.

Voorbeeld:

wevtutil gli System

Dit toont de status van het logboek System.

epl (export-log)

Exporteert een logboek naar een bestand, meestal in .evtx-formaat.

Voorbeeld:

wevtutil epl System C:\Logs\systeemlog.evtx

Dit maakt een export van het System-logboek naar het bestand systeemlog.evtx.

al (archive-log)

Omschrijving: Archiveert een geëxporteerd logboek. Dit kan handig zijn voor langdurige opslag.

Voorbeeld:

wevtutil al C:\Logs\systeemlog.evtx

Dit archiveert het geëxporteerde System-logboek.

cl (clear-log)

Hiermee wist u alle gebeurtenissen uit een logboek.

Voorbeeld:

wevtutil cl System

Dit verwijdert alle gebeurtenissen uit het System-logboek (kan niet ongedaan worden gemaakt).

Met wevtutil beheert u Windows-logboeken rechtstreeks via het Opdrachtprompt. Zo kunt u gebeurtenissen uitlezen, exporteren of opschonen.

Ik hoop u hiermee geholpen te hebben. Bedankt voor het lezen!