我在事件查看器 (Windows Server 2012) 中创建了一个自定义视图,用于显示来自指定来源的事件(Sugar2SvcNow Log 附加屏幕截图)。我尝试每月一次将此自定义视图中的所有事件保存到 evtx 文件中。对于 Windows 日志,只需右键单击日志名称,然后单击“属性”,即可轻松设置自动保存日志。有没有办法对自定义视图执行相同操作?
编辑:附加另一个带有自定义视图属性的屏幕截图。
答案1
您需要使用 Microsoft 博客中所述的 PowerShell
在 PowerShell 中使用 Windows 事件查看器中的自定义视图:
- 在事件查看器中,单击选择自定义视图
- 点击过滤自定义视图从操作菜单或右侧窗格
- 点击XML标签
- 单击Ctrl+A选择所有内容
- 单击Ctrl+C将其复制到剪贴板
- 打开记事本并粘贴文本
- 另存为
.xml文件,在文件中说C:\Temp\ev.xml 以管理员身份运行 PowerShell,使用以下命令读取事件:
Get-WinEvent -FilterXml ([xml](Get-Content "C:\Temp\ev.xml"))
另请参阅 Microsoft 文档 获取 WinEvent。
