我知道您可以为本地事件日志创建默认过滤器。当我为客户提供支持时,我经常会收到一个我必须查看的 .evt 文件。每次搜索时,我都会先进入过滤器,滚动到我想要的来源,然后开始查找问题。
我正在寻找一种方法来创建适用于全部事件日志,甚至是您临时打开的外部 .evt 文件。我该怎么做?
答案1
有几种解决方法可能对你有帮助
为一个默认日志文件创建默认过滤器,然后,当您需要检查新的日志文件时,只需将其重命名为此默认文件名。
如果无法重命名,请制作一个文本文档,将您想要的过滤器列为 XPath 查询。它将成为您的过滤器库。
例如 *[System[Provider[@Name='Application Error' 或 @Name='Application Hang']]]
打开日志后,转到过滤器,然后切换到 XML,单击手动编辑查询并修改 XML 查询 - 用 XPath 替换 *。
对于复杂的过滤器,它应该比使用 UI 更快。更好的选择——尝试事件日志资源管理器(非商业用途免费)。它允许您一次性为所有在线日志和日志文件设置预定义过滤器。