Apa itu WevtUtil dan Cara Menggunakannya

 

WevtUtil.exe adalah utilitas command line di system operasi Windows dan digunakan terutama untuk mendaftarkan Provider anda di komputer. Tool ini ditempatkan di folder C:\Windows\System32. Perintah ini terbatas pada anggota group Administrator dan harus dijalankan dengan hak istimewa yang lebih tinggi. Dalam artikel ini, saya akan membahas cara menggunakan tool bawaan ini di komputer Windows 10 atau Windows 11.

Proses yang dikenal sebagai Windows Events Command Line Utility ini adalah asli dari system operasi Windows dari Microsoft. File wevtutil.exe terletak di folder C:\Windows\System32. Ukuran file pada Windows 10 atau Windows 11 adalah 292 kb. WevtUtil.exe adalah file system inti Windows.

Apa itu WevtUtil dan Bagaimana Anda Menggunakannya?

Perintah WevtUtil.exe memungkinkan Anda untuk mengambil informasi tentang event log dan publisher. Anda dapat menggunakan perintah untuk mendapatkan informasi metadata tentang provider, event dan channel yang mencatat event dan untuk menanyakan event dari channel atau file log.

Pengguna PC dapat menjalankan perintah WevtUtil untuk hal berikut:

• Mengambil informasi tentang event log dan publisher/penerbit.

• Mengarsipkan log dalam format self-contained.

• Menghitung log yang tersedia.

• Install and uninstall manifes event.

• Menjalankan kueri.

• Mengekspor event (dari event log, dari file log atau menggunakan kueri terstruktur) ke file tertentu.

• Menghapus event log.

Untuk informasi penggunaan, masukkan wevtutil /? pada Command Prompt.

Menggunakan Perintah WevtUtil

Mari kita lihat beberapa penggunaan dasar perintah WevtUtil pada system Windows 10 atau Windows 11.

Tekan tombol Win + R, kemudian ketik cmd dan tekan Enter untuk membuka Command Prompt. Atau anda dapat menggunakan Terminal Windows dan pilih Command Prompt. Kemudian di command prompt, jalankan perintah di bawah ini untuk tugas yang sesuai.

Catatan: Sebagian besar opsi untuk WevtUtil tidak peka huruf besar-kecil. Untuk mengambil data event log, cmdlet PowerShell Get-WinEvent lebih mudah digunakan dan lebih fleksibel.

• Daftar nama semua log:

wevtutil el

• Tampilkan informasi konfigurasi tentang log System di komputer local dalam format XML:

wevtutil gl System /f:xml

• Gunakan file konfigurasi untuk mengatur attribute event log (lihat Remark untuk contoh file konfigurasi):

wevtutil sl /c:config.xml

• Menampilkan informasi tentang event publisher Microsoft-Windows-Eventlog, termasuk metadata tentang event yang dapat diangkat oleh publisher:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

• Install publisher dan log dari file manifes myManifest.xml:

wevtutil im myManifest.xml

• Uninstall publisher dan log dari file manifes myManifest.xml:

wevtutil um myManifest.xml

• Menampilkan tiga event terbaru dari Application log dalam format tekstual:

wevtutil qe Application /c:3 /rd:true /f:text

• Menampilkan status Application log:

wevtutil gli Application

• Export event dari log System ke C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

• Hapus semua event dari Application log setelah menyimpannya ke C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

• Hapus semua event dari Application log

wevtutil clear-log Application

• Parsing setiap Event log yang terinstal di komputer dan hapus semuanya. Anda dapat membuat file batch dengan kode sintaks di bawah ini dan menjalankan file .bat:

@echo off

for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")

• Export event dari log System ke C:\backup\ss64.evtx:

wevtutil export-log System C:\backup\ss64.evtx

• Daftar event publisher di komputer saat ini:

wevtutil enum-publishers

• Uninstall publisher dan log dari file manifes SS64.man:

wevtutil uninstall-manifest SS64.man

• Aktifkan event log untuk Task Scheduler:

wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1

• Menampilkan 50 event terbaru dari Application log dalam format teks:

wevtutil qe Application /c:50 /rd:true /f:text

• Temukan 20 event startup terakhir di log System:

wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

Perintah WevtUtil.exe dapat mengontrol hampir setiap aspek Event Viewer dan Log yang memerlukan banyak parameter dan switch untuk mengontrol detail ini. Untuk melihat struktur utama sintaks untuk WevtUtil.exe dan mempelajari lebih lanjut tentang tool asli ini, lihat dokumentasi Microsoft.

Semoga artikel ini cukup informatif untuk anda! Anda kemudian dapat membaca artikel saya lainnya tentang cara mengubah lokasi default file Event Log di Windows 10/11 atau cara mengembalikan Event Viewer yang hilang di Windows 10/11.

Sekian artikel saya kali ini, semoga bermanfaat dan membantu anda dalam memahami apa itu WevtUtil dan cara menggunakannya di Windows 10 atau Windows 11 anda. Jangan lupa tinggalkan komentar anda dibawah ini untuk berbagi pemikiran serta pengalaman anda dalam mengikuti tutorial ini. Terimakasih dan GBU. BERSATU LAWAN COVID-19!!