[登録されているタグ]

[記事公開日]2025/10/06

📑 wevtutilコマンドの使い方|Windowsイベントログを自在に操作する方法

はじめに

Windowsには「イベントログ」という強力な仕組みがあり、システム、アプリケーション、セキュリティなどの動作状況やエラー履歴が記録されています。トラブルシューティングや監査、セキュリティ調査において、このログを正しく活用することは非常に重要です。

その際に役立つのが「wevtutil」コマンドです。これは、Windowsのイベントログを管理・操作するためのコマンドラインツールであり、ログの表示・エクスポート・クリア・設定変更などを柔軟に行うことができます。

この記事では、wevtutilコマンドの基本操作から応用的な活用方法、セキュリティや監査での利用シーンまでを詳しく解説します。

🛠 wevtutilコマンドとは?

  • 役割:イベントログの照会、保存、削除、設定変更

  • 用途:システム監査、トラブルシューティング、セキュリティ調査

  • 特徴:GUI(イベントビューア)ではできない細かい制御や自動化に向いている

📌 基本的な使い方

ログ一覧の表示

wevtutil el

  • 登録されているすべてのイベントログ名を一覧表示

ログを表示

wevtutil qe System /c:10 /f:text

  • Systemログの最新10件をテキスト形式で表示

ログをエクスポート

wevtutil epl System C:\logs\system_log.evtx

  • Systemログを.evtxファイルとして保存

ログをクリア

wevtutil cl System

  • Systemログをクリア(削除)

📊 出力例

Event[0]:
  Log Name: System
  Source: Service Control Manager
  Date: 2023-08-01T14:32:15.000
  Event ID: 7036
  Level: Information
  Description: Print Spooler サービスは実行中の状態に入りました。

  • 出力形式は /f:text(テキスト形式)、/f:xml(XML形式)が選べる

🔍 主なコマンドとオプション

  • el : ログの一覧を表示

  • qe <ログ名> : ログを照会(クエリ)

  • epl <ログ名> <ファイル名> : ログをエクスポート

  • cl <ログ名> : ログをクリア

  • gli <ログ名> : ログ情報を表示

クエリのオプション

  • /c:<数> : 表示件数を指定

  • /f:text : テキスト形式で出力

  • /f:xml : XML形式で出力

  • /q:<XPath> : 条件指定して出力

例:エラーイベントのみを抽出

wevtutil qe System /q:"*[System[(Level=2)]]" /f:text /c:5

📚 応用的な使い方

セキュリティログの保存と調査

wevtutil epl Security C:\logs\security.evtx

  • セキュリティイベントを保存し、監査に活用

特定のイベントIDを抽出

wevtutil qe Application /q:"*[System[(EventID=1000)]]" /f:text

  • アプリケーションエラー(ID:1000)のみを表示

ログサイズの確認と設定

wevtutil gli System
wevtutil sl System /ms:104857600

  • Systemログの最大サイズを確認・100MBに設定

自動化スクリプトへの応用

for /f "tokens=*" %%i in ('wevtutil qe System /c:1 /f:text') do echo %%i >> last_event.txt

  • 最新のイベントを定期的にログとして保存

📚 活用シーン

トラブルシューティング

  • 利用例:PCが再起動する原因を特定するためにイベントログを調査

  • 効果:エラーメッセージや停止コードを迅速に把握

セキュリティ監査

  • 利用例:ログオンイベントや認証失敗を監視

  • 効果:不正アクセスや内部不正の兆候を早期発見

運用監視

  • 利用例:サービス起動や停止イベントを記録

  • 効果:システムの安定稼働を確認・証跡として保存

⚠️ 注意点

  • ログをクリアすると元に戻せないため、事前にエクスポート推奨

  • XPathクエリは構文が複雑なため、テストしてから利用すること

  • セキュリティログなど一部のログは管理者権限が必要

  • ログの肥大化はディスクを圧迫するため、定期的な整理が望ましい

📊 まとめ表

コマンド 用途 主な活用シーン
wevtutil el ログ一覧表示 確認作業
wevtutil qe ログ名 ログ照会 トラブル調査
wevtutil epl ログ名 ファイル名 エクスポート 監査・保存
wevtutil cl ログ名 ログクリア 管理・整理
wevtutil gli ログ名 ログ情報表示 サイズ確認

関連記事

  • eventvwr.mscでGUIイベントビューアを利用する方法

  • systeminfoコマンドでシステム情報を一括確認する方法

  • sc queryコマンドでサービス状態を調べる方法

  • PowerShellでGet-EventLogを使う方法

さいごに

「wevtutil」コマンドは、イベントログを自在に操作できる強力なツールです。GUIのイベントビューアに比べて軽量で自動化に適しており、トラブルシューティングからセキュリティ監査まで幅広く活用可能です。

特に、定期的なログ収集や分析を自動化したい場合には欠かせない存在といえるでしょう。

トップページに戻る

すべてを開く | すべてを閉じる

ページ上部へ戻る