windows 日志文件查找符合條件的列并統計

因為要將windows每天登陸失敗的次數統計，

    “wevtutil el  ”           //列出日志名稱

    ”wevtutil  gl  日志名稱“ //獲取日志配置信息。

 你可以使用短(如 ep /uni)或長(如enum-publishers /unicode)形式的命令和選項名稱。

 命令、選項和選項值不區分大小寫。

 變量均使用大寫形式。

   wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT

命令:

el | enum-logs          列出日志名稱。

gl | get-log            獲取日志配置信息。

sl | set-log            修改日志配置。

ep | enum-publishers    列出事件發布者。

gp | get-publisher      獲取發布者配置信息。

im | install-manifest   從清單中安裝事件發布者和日志。

um | uninstall-manifest 從清單中卸載事件發布者和日志。

qe | query-events       從日志或日志文件中查詢事件。

gli | get-log-info      獲取日志狀態信息。

epl | export-log        導出日志。

al | archive-log        存檔導出的日志。

cl | clear-log          清除日志。

先將日志文件導出成文本格式  wevtutil qe  Security > c:\log.txt  

    日志文件 %SystemRoot%\System32\Winevt\Logs\Security.evtx

查找某天登陸失敗次數  “0xc000006d” 登陸失敗代碼

   find /n "2016-12-06" log.txt | find /c "0xc000006d"

   find 常用方法

find "ABC" d:\test.txt，表示在D盤根目錄下的文本文件test.txt中查找含有 bathome 這一字符串的                 所有行。 

find /i "Abc" test.txt  表示不區分大小寫

find /v "Abc" test.txt，它表示查找那些不含字符串Abc的行（Abc要區分大小寫），如果不區分abc的                  大小寫，那么，應該寫成 find /i /v "Abc" test.txt。 

find /c "abc" test.txt。 統計包含某個字符串的行

find /n "abc" test.txt  每行的行首顯示行號，