Graficzny Podgląd zdarzeń (Event Viewer) to standardowe narzędzie administratora, ale przy dużych dziennikach działa ociężale. Oczekiwanie na załadowanie przystawki i przefiltrowanie tysięcy wpisów jest nieefektywne, zwłaszcza gdy pracujesz na zdalnym serwerze lub systemie typu Windows Server Core.
Alternatywą jest wbudowane narzędzie wiersza poleceń – wevtutil. Pozwala ono na błyskawiczne odpytanie dziennika Security i uzyskanie konkretnych danych bez narzutu interfejsu graficznego.
Podstawowa komenda: Szybki rzut oka
Najprostsze zastosowanie to wyświetlenie ostatnich wpisów w dzienniku, aby sprawdzić, co działo się w systemie przed chwilą. Poniższe polecenie pobiera 5 najnowszych zdarzeń z dziennika Zabezpieczeń i wyświetla je jako czytelny tekst:
wevtutil qe security /c:5 /f:text /rd:true
Analiza parametrów:
- qe security: (Query Events) Odpytujemy dziennik Zabezpieczeń.
- /c:5: (Count) Ograniczamy wynik do 5 zdarzeń.
- /f:text: (Format) Wymuszamy format tekstowy zamiast domyślnego XML.
- /rd:true: (Reverse Direction) Kluczowy parametr – czyta logi od najnowszych. Bez tego zobaczyłbyś najstarsze wpisy z momentu instalacji systemu.
Praktyczny przykład: Szukanie nieudanych logowań
Powyższa komenda wyświetla wszystko jak leci. W praktyce administratorskiej rzadko szukamy losowych zdarzeń – zazwyczaj interesują nas konkrety, np. próby włamania.
Aby sprawdzić nieudane próby logowania, musimy przefiltrować wyniki po konkretnym identyfikatorze (Event ID). Dla nieudanego logowania jest to zazwyczaj 4625.
Oto zmodyfikowana komenda, która pokaże 3 ostatnie nieudane logowania:
wevtutil qe security /q:"*[System[(EventID=4625)]]" /c:3 /f:text /rd:true
Zastosowaliśmy tu parametr /q (Query) z zapytaniem XPath. Dzięki temu narzędzie pomija tysiące nieistotnych wpisów i zwraca tylko te krytyczne dla bezpieczeństwa.
Może Cię zainteresować: Internet nie działa? 6 komend CMD, które naprawią sieć w 5 minut
Inny przykład: Kto dodał użytkownika?
Kolejnym częstym scenariuszem audytowym jest weryfikacja zarządzania kontami. Jeśli chcesz sprawdzić, czy ostatnio utworzono nowe konto użytkownika (Event ID 4720), użyj polecenia:
wevtutil qe security /q:"*[System[(EventID=4720)]]" /c:1 /f:text /rd:true
To polecenie zwróci ostatni przypadek utworzenia konta, wraz ze szczegółami: kto to zrobił i o której godzinie.
Wevtutil to nie tylko czytanie: Zarządzanie i backup
Szybki podgląd to jedno, ale administrator musi czasem zabezpieczyć dowody lub posprzątać po testach. Tutaj wevtutil również pokazuje przewagę nad „wyklikiwaniem” opcji.
1. Bezpieczna kopia zapasowa (Export)
Zanim wyczyścisz logi lub jeśli potrzebujesz przenieść je na inną maszynę do analizy, wykonaj export. Kopiowanie pliku .evtx „na żywo” bywa problematyczne, ale ta komenda zrobi to bezpiecznie:
wevtutil export-log Application C:\logs\application.evtx
- export-log (lub epl): Polecenie eksportu.
- Application: Nazwa dziennika, który chcemy zgrać.
- C:\logs\…: Ścieżka docelowa.
To idealne rozwiązanie do tworzenia cyklicznych backupów w skryptach.
2. Monitorowanie stabilności usług
Częstym problemem są usługi, które „wstają” i „padają” w tle. W dzienniku Systemowym odpowiada za to zdarzenie o ID 7036 (usługa zmieniła stan). Aby szybko wyłowić te momenty, użyjemy filtra:
wevtutil qe System /q:"*[System[(EventID=7036)]]" /c:5 /f:text /rd:true
To zapytanie pokaże 5 ostatnich zmian statusu usług. Dzięki temu natychmiast zauważysz, jeśli kluczowa usługa (np. Spooler czy SQL Server) nieustannie się restartuje.
3. Czyszczenie historii (Clear)
Po rozwiązaniu problemu lub zarchiwizowaniu danych, często chcemy wyzerować liczniki i zacząć „z czystą kartą”. Zamiast szukać opcji w menu kontekstowym, wpisz:
wevtutil clear-log System
- clear-log (lub cl): Komenda czyszcząca.
- System: Nazwa dziennika do wyczyszczenia.
Uwaga: To operacja nieodwracalna. Używaj jej świadomie, zwłaszcza w środowiskach produkcyjnych, gdzie historia logów może być wymagana przez polityki bezpieczeństwa.
Dlaczego warto używać wevtutil?
Przejście na konsolę w audycie logów przynosi wymierne korzyści:
- Wydajność: wevtutil zwraca wyniki niemal natychmiast, nawet jeśli plik dziennika ma kilka gigabajtów.
- Precyzja: Dzięki składni zapytań XPath wyciągasz tylko to, co jest Ci potrzebne.
- Skalowalność: Komendę łatwo zamienić w skrypt, który automatycznie wyśle raport o błędach na maila administratora.
Zamiast przeklikiwać się przez kolejne okna, wystarczy jedna linijka kodu, by ocenić stan bezpieczeństwa maszyny.
