Экспорт событий в файл из журнала, файла журнала или структурированного запроса. Использование: wevtutil { epl | export-log ...

Экспорт событий в файл из журнала, файла журнала или структурированного запроса.

Использование:

wevtutil { epl | export-log } <ПУТЬ> <ЦЕЛЕВОЙ_ФАЙЛ>
  [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...]

<ПУТЬ>
По умолчанию в параметре <ПУТЬ> указывается имя журнала. Однако если вы 
используете параметр /lf, в качестве значения параметра <ПУТЬ>
следует ввести путь к файлу журнала. Если вы используете параметр /sq, 
укажите путь к файлу, который содержит структурированный запрос. 

<ЦЕЛЕВОЙ_ФАЙЛ>
Путь к файлу, в котором будут сохранены экспортированные события.

Вы можете указывать имена параметров как в краткой (например, /l), 
так и в полной (например, /locale) форме. 
В параметрах и их значениях регистр не учитывается.

/{lf | logfile}:[true|false]
Если выбрано значение "true", в параметре <ПУТЬ> указывается 
путь к файлу журнала.

/{sq | structuredquery}:[true|false]
Если выбрано значение "true", в параметре <ПУТЬ> указывается 
путь к файлу, который содержит структурированный запрос. 
Выполнение команды может занять продолжительное время, 
если выбрано большое количество событий, но не все из них.

/{q | query}:ЗНАЧЕНИЕ
В качестве значения указывается запрос XPath для фильтрации событий, 
которые требуется экспортировать. Если значение не указано, возвращаются 
все события. Этот параметр недоступен, если для /sq выбрано
значение "true". Выполнение команды может занять продолжительное время, 
если выбрано большое количество событий, но не все из них.

/{ow | overwrite}:[true|false]
Если выбрано значение "true" и конечный файл, указанный в параметре 
<ЦЕЛЕВОЙ_ФАЙЛ>, уже существует, он будет перезаписан без подтверждения.

Пример:

В приведенном ниже примере события экспортируются из системного журнала 
в файл C:\backup\system0506.evtx.

wevtutil epl System C:\backup\system0506.evtx