当拿到windows的shell但是没有图形化界面时(如cs的shell、msf的shell、命令执行的shell等),需要查询日志却无法使用日志查看器,可以使用wevtutil工具导出日志文件。
wevtutil工具常用命令
列出所有已注册的事件日志
C:\> wevtutil el
将System日志导出到文件C:\System_log.evtx
C:\> wevtutil epl System C:\System_log.evtx
导出远程桌面日志到C:\rdp_log.evtx
C:\> wevtutil epl Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational C:\rdp_log.evtx
在应用日志中的最后100个条目中搜索ID为1704的事件
C:\> wevtutil qe Application /q:"Event/System/EventID=1704" /c:100 /f:text