我有一个业务需求,需要备份 Windows 事件日志文件。当我使用 NT Backup 备份 C:\WINDOWS\System32\config 文件夹(该文件夹似乎包含事件日志文件)时,运行备份作业后,它们不会出现在备份目录中。我猜这些文件已被锁定并正在使用中,但我该如何备份 Windows 事件日志呢?
答案1
答案2
您应该考虑使用 Log Parser 之类的工具将日志存档到数据库,而不仅仅是备份它们。Jeff Atwood(本网站的创建者)在以下网址上发表了一篇关于 Log Parser 的优秀博客文章:
http://www.codinghorror.com/blog/archives/000369.html
另一个可以实现此目的的好工具是 Splunk。
您可以在数据库存档日志上执行有用的工作(例如查询谁在何时何地登录),而磁带或磁盘上的日志备份实际上仅对勾选某些管理待办事项列表有用。
答案3
您只需右键单击日志并选择将所有事件另存为... 这会将该日志中的所有内容导出到一个文件中。您可以将日志重新导入事件查看器以查看它们,我认为 Splunk 和 logparser 也可以直接读取该文件。