我正在将 Windows 应用程序事件日志从我的一台服务器导出到 XML 以进行离线分析。我可以这样做……但是当我这样做时,我丢失了“常规”描述信息。这是一个示例事件。在 Windows 事件日志查看器中,它显示以下内容作为一般描述:
无法重新启动应用程序‘C:\Program Files (x86)\Mountain Duck\Mountain Duck.exe’ (pid 2940) - 应用程序 SID 与 Conductor SID 不匹配。
然而,当我导出到 XML 时,我得到的就是这些:
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
<System>
<Provider Name='Microsoft-Windows-RestartManager' Guid='{0888E5EF-9B98-4695-979D-E92CE4247224}'/>
<EventID>10010</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime='2016-04-07T20:00:10.245609600Z'/>
<EventRecordID>6889</EventRecordID>
<Correlation/>
<Execution ProcessID='3868' ThreadID='4016'/>
<Channel>Application</Channel>
<Computer>WIN-8S18ONBFAEP</Computer>
<Security UserID='S-1-5-21-3589301003-3870519012-1491501718-500'/>
</System>
<UserData>
<RmUnsupportedRestartEvent xmlns='http://www.microsoft.com/2005/08/Windows/Reliability/RestartManager/'>
<RmSessionId>0</RmSessionId>
<Pid>2940</Pid>
<FullPath>C:\Program Files (x86)\Mountain Duck\Mountain Duck.exe</FullPath>
<DisplayName>Mountain Duck</DisplayName>
<AppVersion>0</AppVersion>
<AppType>0</AppType>
<TSSessionId>2</TSSessionId>
<Status>67108865</Status>
<Reason>1</Reason>
</RmUnsupportedRestartEvent>
</UserData>
</Event>
保存事件日志时,有没有办法包含描述性文本?我尝试了所有能想到的搜索方法,但似乎什么也没找到。
答案1
电源外壳
Get-EventLog -LogName System -Newest 100 | select * | Export-Clixml log.xml