Como nós mesclamos os logs de eventos do Windows no sistema operacional?

Question

Como nós mesclamos os logs de eventos do Windows no sistema operacional?

#1 resposta do (1 votos)
#2 resposta do (1 votos)

0

Em eventvwr, o log de eventos do sistema operacional foi configurado para arquivamento automático quando está cheio:

Issocriaarquivoscomo"C: \ Windows \ System32 \ Winevt \ Logs \ Archive-Security-2016-10-07-09-29-41-743.evtx" quando o limite para ..Winevt \ Logs \ Security.evtx é atingido. Os eventos arquivados como tal não aparecem em eventvwr "o modo usual" em:

Como eles podem aparecer da maneira usual?

Eu aumentei o limite de tamanho de log para acomodar todos os arquivos. Em seguida, como posso mesclar os logs de eventos ..Winevt\Logs\Archive-Security-***** de volta para ..Winevt\Logs\Security.evtx ?

_{• versão Win 8.1 Core, se relevante.}

windows security archiving event-log

por Pacerier 07.10.2016 / 12:10

2 respostas

Tags windows security archiving event-log

O TortoiseGit e outras extensões do shell tentam processar sistemas fle remotos? Dividindo páginas com 4 slides

score 1 · Answer 1

Isso não os colocará de volta nos registros do sistema, mas por que não apenas usar um visualizador .evtx como o Nirsoft FullEventLogView v1? .00 para inspecionar os arquivos separados. Isso é mais fácil do que tentar forçar seus pinos quadrados em buracos redondos (supondo que eles ainda não se encaixem).

FullEventLogView is a simple tool for Windows 10/8/7/Vista that displays in a table the details of all events from the event logs of Windows, including the event description. It allows you to view the events of your local computer, events of a remote computer on your network, and events stored in .evtx files. It also allows you to export the events list to text/csv/tab-delimited/html/xml file from the GUI and from command-line.

Selecionando a fonte:

VocêpodefazertodosostiposdefiltragemnasOpçõesavançadas:

score 1 · Answer 2

Aqui está uma maneira não testada que você pode experimentar (incluindo minhas suposições):

Seus logs de eventos atuais estão em c:\Windows\System32\winevt\Logs\ .

Copie os Archive-Security-20xx-xx-xx-xx-xx-xx-xxx.evtx e os Security.evtx atuais para uma pasta separada.

Faça o download e instale Explorador de Logs de Eventos (Gratuito para uso pessoal - Você não disse se estava disposto a pagar por uma solução e / ou se for para uso pessoal). Sua documentação fala apenas sobre arquivos .evt, mas como também é para o Win7 +, ele também irá lidar com .evtx. Os recursos do programa dizem:

Event Log Explorer allows you not only to read events from different sources, but to consolidate them in one event view. You can review such a view as a solid log. You can even save this consolidated event log as an EVT file.

Agora leia todos os arquivos copiados no programa e escreva-os de volta para c:\Windows\System32\winevt\Logs\Security.evtx . Eu estou supondo que você pode substituir esse arquivo.