操作系统是Windows Server 21H2。
我已启用文件夹和文件访问审核,并在 Windows 事件查看器中启用了该功能。我按 5663 事件进行筛选。我可以看到这些事件。
但是,例如,如果我在 11:00 有一个事件,并且我使用 F5 刷新事件查看器,则我再也看不到该事件了。事实上,如果我刷新事件,我显示的事件在很多时候都是不同的。
我已经在事件查看器的安全属性中配置文件大小为 20MB,我猜它足够大,至少可以存储过去一小时的日志,但实际上我丢失了很多事件,或者至少我不知道如何查看它们。
那么,我如何才能查看今天和过去几天的所有事件?
答案1
您可以FullEventLogView使用尼尔索弗。
它是免费软件,可以在这里获取:
https://www.nirsoft.net/utils/full_event_log_view.html
FullEventLogView可让您查看今天以及过去几天的所有事件。您可以自定义软件的列以准确显示您想要的详细信息。
唯一的例外是删除系统的事件日志。如果删除,您当然只能看到自删除以来的事件。
要查看仅具有管理员权限的事件,请FullEventLogView以管理员身份运行。否则,您可以在不提升权限的情况下运行它,它将按预期工作。
更新:
您提到您担心在服务器上运行第三方应用程序。这是非常聪明。幸运的是,你不需要FullEventLogView在服务器上运行。
您可以FullEventLogView在联网的机器上运行,并远程访问服务器的事件日志。为此,请转到菜单File并选择Choose data source。然后选择从远程计算机加载事件的选项。
为了更加安全,您可以简单地将服务器的事件日志文件复制到未联网的机器上,然后FullEventLogView在该未联网的机器上运行。再次转到菜单File并选择Choose data source。但这次,请指定事件日志文件的副本。