前言
当拿到windows的shell但是没有图形化界面时(如cs的shell、msf的shell、命令执行的shell等),需要查询日志却无法使用日志查看器,可以使用wevtutil工具导出日志文件。
wevtutil工具常用命令
列出所有已注册的事件日志
C:> wevtutil el
将System日志导出到文件C:System_log.evtx
C:> wevtutil epl System C:System_log.evtx
导出远程桌面日志到C: dp_log.evtx
C:> wevtutil epl Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational C: dp_log.evtx
在应用日志中的最后100个条目中搜索ID为1704的事件
C:> wevtutil qe Application /q:"Event/System/EventID=1704" /c:100 /f:text