在 eventvwr 中,操作系统事件日志被设置为满时自动存档:
当 ..Winevt\Logs\Security.evtx 达到限制时,会创建诸如“C:\Windows\System32\Winevt\Logs\Archive-Security-2016-10-07-09-29-41-743.evtx”之类的文件。这样存档的事件不会以“通常的方式”显示在 eventvwr 中:
如何才能使它们以通常的方式出现?
我已增加日志大小限制以容纳所有档案。接下来,我该如何将事件日志合并..Winevt\Logs\Archive-Security-*****回..Winevt\Logs\Security.evtx?
• 如果相关,版本 Win 8.1 Core。
答案1
这不会将它们放回系统日志中,但为什么不直接使用像 Nirsoft 这样的 .evtx 查看器呢?FullEventLogView v1.00检查单独的文件。这比试图将方形钉子强行塞入圆孔(假设它们仍然可能不适合)要容易得多。
FullEventLogView 是一款适用于 Windows 10/8/7/Vista 的简单工具,可在表格中显示 Windows 事件日志中所有事件的详细信息,包括事件描述。它允许您查看本地计算机的事件、网络上远程计算机的事件以及存储在 .evtx 文件中的事件。它还允许您从 GUI 和命令行将事件列表导出到 text/csv/tab-delimited/html/xml 文件。
选择来源:
您可以在高级选项中进行各种过滤:
答案2
这是一个未经测试您可以尝试的方法(包括我的假设):
您当前的事件日志位于c:\Windows\System32\winevt\Logs\。
复制那些Archive-Security-20xx-xx-xx-xx-xx-xx-xxx.evtx 和将当前文件夹Security.evtx复制到单独的文件夹。
下载并安装事件日志资源管理器(免费供个人使用 - 您没有说明是否愿意为解决方案付费和/或是否供个人使用)。其文档仅讨论 .evt 文件,但由于它也适用于 Win7+,因此它也可以处理 .evtx。该程序的功能如下:
事件日志资源管理器不仅允许您读取来自不同来源的事件,还可以将它们合并到一个事件视图中。您可以将此类视图作为实体日志进行查看。您甚至可以将此合并的事件日志保存为 EVT 文件。
现在将所有复制的文件读入程序并将它们全部写回到c:\Windows\System32\winevt\Logs\Security.evtx。我假设您可以覆盖该文件。