Exportiert Ereignisse aus einem Protokoll, einer Protokolldatei oder mittels einer strukturierten Abfrage in eine Datei. ...

Exportiert Ereignisse aus einem Protokoll, einer Protokolldatei oder mittels 
einer strukturierten Abfrage in eine Datei.

Syntax:

wevtutil { epl | export-log }  
  [/OPTION:WERT [/OPTION:WERT] ...]


Standardmäßig wird mit  der Protokollname angegeben. Wenn Sie jedoch die 
Option "/lf" verwenden, geben Sie für  den Pfad zu einer Protokolldatei
an. Wenn Sie den Parameter "/sq" verwenden, geben Sie den Pfad zu einer Datei
an, die eine strukturierte Abfrage enthält.


Pfad zu der Datei, in der die exportierten Ereignisse gespeichert werden sollen.

Optionen:

Sie können die kurze (z. B. "/l") oder lange (z. B. "/locale") Version der 
Optionsnamen verwenden. Bei Optionen und ihren Werten wird die Groß-/
Kleinschreibung nicht berücksichtigt.

/{lf | logfile}:[true|false]
Bei TRUE gibt  den Pfad zu einer Protokolldatei an.

/{sq | structuredquery}:[true|false]
Bei TRUE gibt  den Pfad zu einer Datei an, die eine strukturierte Abfrage
enthält. Die Ausführung des Befehls kann eine längere Zeit in Anspruch nehmen,
wenn viele, aber nicht alle Ereignisse, ausgewählt werden.

/{q | query}:WERT
WERT ist eine XPath-Abfrage, um die zu exportierenden Ereignisse zu filtern.
Wird diese Option nicht angegeben, werden alle Ereignisse zurückgegeben. Diese
Option steht nicht zur Verfügung, wenn "/sq" auf TRUE festgelegt ist. Die
Ausführung des Befehls kann eine längere Zeit in Anspruch nehmen, wenn viele,
aber nicht alle Ereignisse, ausgewählt werden.

/{ow | overwrite}:[true|false]
Wenn WERT auf TRUE festgelegt ist und die in  angegebene Datei
bereits vorhanden ist, wird diese überschrieben, ohne einen entsprechenden
Hinweis auszugeben.

Beispiel:

Mit dem folgenden Beispiel werden Ereignisse aus dem Systemprotokoll in 
"C:\backup\system0506.elf" exportiert.

wevtutil epl System C:\backup\system0506.evtx