我在事件查看器中有一个自定义视图,其中包含几个事件 ID。我知道您可以将这些事件 ID 保存在 .evtx 文件中以打开它。此过程必须手动执行。现在我的问题是,我如何自动执行此操作?通过 PowerShell 脚本还是通过任务计划程序中的任务?我想每周五都执行此操作。我希望有人能帮助我。
答案1
您将是最好的服务器,可以从自定义视图过滤器中保存 XML,并使用它来运行使用 XML 作为过滤器查询事件查看器的 powershell 脚本。
有一篇 Technet 博客文章解释了如何做到这一点:http://blogs.technet.com/b/heyscriptingguy/archive/2011/11/14/use-custom-views-from-windows-event-viewer-in-powershell.aspx