我找到了日志存储的路径 -> %SystemRoot%\system32\winevt\logs 双击其中一个 .evtx 日志时,它会在事件日志查看器中打开它。有没有办法在不使用事件日志查看器的情况下打开它,例如在 .doc 或 .txt 中?
答案1
您可以在事件查看器中打开 evtx 日志,然后将其保存为其他类型,例如 xml、txt 或 csv。(右键单击事件查看器中的日志,选择“将所有事件另存为”并选择文件类型)这会将事件置于您在记事本等中打开时实际有意义的格式中。
然后,您可以根据所选择的文件格式,使用所需的任何程序(记事本/Excel/等)打开该格式。
还有大量第三方软件可用于读取/分析事件日志格式。