Lệnh wevtutil trong cmd là một công cụ dòng lệnh mạnh mẽ do Microsoft phát triển, cho phép quản trị viên hệ thống tương tác trực tiếp với Windows Event Log. Với wevtutil, người dùng có thể đăng ký, truy vấn, xuất, lưu trữ và xóa các bản ghi sự kiện một cách nhanh chóng mà không cần giao diện đồ họa. Công cụ này đặc biệt hữu ích khi cần xử lý hàng loạt log trên máy chủ, tự động hóa quy trình kiểm tra bảo mật hoặc khắc phục sự cố hệ thống từ xa thông qua Remote Desktop hay SSH.
Wevtutil Là Gì Và Tại Sao Quản Trị Viên Cần Sử Dụng Lệnh Này?
Wevtutil (Windows Events Command Line Utility) là một tiện ích tích hợp sẵn trong Windows Vista trở lên, nằm trong thư mục System32. Không như các lệnh cũ như eventquery.vbs hay wecutil, wevtutil cung cấp khả năng kiểm soát chi tiết từng channel log, bao gồm cả các nhà cung cấp (providers) và manifest sự kiện. Bằng cách sử dụng lệnh wevtutil trong cmd,
Gõ wevtutil el trong cmd với quyền Administrator. Lệnh sẽ trả về danh sách tất cả các log đã đăng ký trên hệ thống.
Wevtutil có thể xuất log sang định dạng XML không?
Có. Thay vì dùng phần mở rộng.evtx,
Nguyên nhân thường do thiếu quyền Administrator hoặc log đang được mở bởi tiến trình khác (như Event Viewer). Hãy đóng Event Viewer và chạy cmd với quyền cao nhất.
Làm sao để chỉ xuất sự kiện trong khoảng thời gian cụ thể?
Sử dụng điều kiện TimeCreated trong XPath. Ví dụ xuất sự kiện từ ngày 01/03/2025 đến 07/03/2025: wevtutil epl “System” “C:sys_march.evtx” /q:”*[System[TimeCreated[@SystemTime>=’2025-03-01T00:00:00′ and @SystemTime<=’2025-03-07T23:59:59′]]]”
Có thể dùng wevtutil trên Windows Server Core không?
Có. Wevtutil hoạt động đầy đủ trên Windows Server Core, Nano Server, và các phiên bản không có GUI, giúp quản trị từ xa hiệu quả.
Wevtutil có hỗ trợ remoting qua PowerShell Invoke-Command không?
Có thể. Bạn có thể chạy Invoke-Command -ComputerName Server01 -ScriptBlock { wevtutil epl “Application” “\naslogsapp.evtx” } miễn là có quyền truy cập network share và đủ permission.
Kết Luận
Lệnh wevtutil trong cmd là một công cụ không thể thiếu đối với bất kỳ quản trị viên Windows nào, từ người mới bắt đầu đến chuyên gia bảo mật. Khả năng kiểm soát chi tiết từng log, kết hợp với tốc độ xử lý nhanh và khả năng tự động hóa cao, giúp wevtutil trở thành lựa chọn hàng đầu cho các tác vụ liên quan đến Windows Event Log. Bằng cách nắm vững các lệnh con như el, gl, sl, epl, và cl, bạn hoàn toàn có thể quản lý log một cách chuyên nghiệp, tiết kiệm thời gian và nâng cao hiệu quả vận hành hệ thống. Hãy luôn nhớ các lưu ý về quyền Administrator, bộ lọc XPath và sao lưu dữ liệu để tránh những rủi ro không đáng có. Wevtutil thực sự là trợ thủ đắc lực trong kho vũ khí dòng lệnh của Windows.
