当然可以实现这个需求！Windows自带的安全审计机制就能帮你捕获wevtutil.exe的完整命令行参数，下面是两种靠谱的配置方法，你可以根据自己的习惯选：

适合喜欢可视化操作的用户，步骤如下：

• 按下Win + R组合键，输入gpedit.msc回车，打开本地组策略编辑器。
• 依次导航到：计算机配置 > 管理模板 > 系统 > 审核进程创建
• 找到并双击在进程创建事件中包含命令行这个策略项，选择「已启用」，点击「确定」保存更改。
• 接下来需要开启进程创建的审核策略：
  • 继续导航到：计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
  • 找到审核进程创建，双击打开后勾选「成功」（如果需要记录失败的操作也可以勾选「失败」），最后点击「确定」。

适合批量部署或者习惯用命令的用户，记得一定要用管理员权限打开命令提示符或PowerShell：

• 首先启用命令行日志的注册表配置：

  reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f
  

• 然后开启进程创建的审核策略：

  auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable
  

配置完成后，你可以快速测试一下：

• 运行任意一条wevtutil命令，比如wevtutil el（用来列出所有可用的事件日志）。
• 打开事件查看器，导航到Windows日志 > 安全，查找事件ID为4688的「进程创建」事件。
• 打开该事件，切换到「详细信息」标签，就能找到CommandLine字段，里面就是完整的wevtutil命令行内容啦。

小提醒 #

• 这个配置会对所有进程生效，不只是wevtutil.exe，所以安全日志的体积会有所增加，记得定期清理日志或者调整日志的最大容量。
• 如果你的系统是Windows Home版，没有gpedit.msc工具，直接用方法2的命令行配置就可以了。

内容的提问来源于stack exchange，提问作者cyborked