我创建了一个简单的测试两行 ps 脚本来备份我的部分事件日志,唯一无法备份的是转发的事件,这有什么原因吗?当我更改名称时,其他日志都可以使用相同的脚本正常备份。我收到的错误是:You cannot call a method on a null-valued expression。此外,当我尝试读取文件的大小并获取其最大值时,它也会引发错误。出于某种原因,我认为事情没有映射相同,但不知道在哪里查看。
$EventLog = Get-WmiObject Win32_NTEventlogFile -Filter "LogFileName = 'ForwardedEvents'"
$EventLog.BackupEventlog("F:\AF\Test.evt")
答案1
经过几个小时在网络上和注册表中的挖掘,我发现转发事件更像是一个通道,可以通过 Get-WinEvent 类进行管理。我想我会走这条路,因为我担心会破坏已经很棘手的东西(Windows 事件收集器)
非常感谢您的想法,但在按照该网站所演示的方法创建解决方法后,发现了一些负面的帖子。
答案一直在 ServerFault 上:WinEvent 类和备份的良好示例