В eventvwr журнал событий ОС был установлен на автоматический архив при заполнении:

Это создает файлы, такие как "C:\Windows\System32\Winevt\Logs\Archive-Security-2016-10-07-09-29-41-743.evtx", когда предел для ..Winevt\Logs\Security.evtx достигнут. События, заархивированные как таковые, не отображаются в eventvwr "обычным способом" в разделе:

Как они могут быть сделаны, чтобы показать, как обычно?

Я увеличил предел размера журнала, чтобы вместить все архивы. Далее, как я могу объединить журналы событий ..Winevt\Logs\Archive-Security-***** назад к ..Winevt\Logs\Security.evtx?

• версия Win 8.1 Core, если применимо.

|источник

2 ответа2

1

Это не вернет их в системные журналы, но почему бы просто не использовать средство просмотра .evtx, такое как Nirsoft FullEventLogView v1.00, для проверки отдельных файлов. Это проще, чем пытаться втиснуть квадратные колышки в круглые отверстия (при условии, что они все еще не подходят).

FullEventLogView - это простой инструмент для Windows 10/8/7/Vista, который отображает в таблице подробную информацию обо всех событиях из журналов событий Windows, включая описание событий. Он позволяет вам просматривать события вашего локального компьютера, события удаленного компьютера в вашей сети и события, хранящиеся в файлах .evtx. Это также позволяет вам экспортировать список событий в текстовый файл /csv /tab-delimited /html /xml из графического интерфейса и из командной строки.

Выбор источника:

Вы можете выполнить все виды фильтрации в дополнительных параметрах:

|источник
1

Вот непроверенный способ, которым вы можете попробовать (включая мои предположения):

Ваши текущие журналы событий находятся в c:\Windows\System32\winevt\Logs\ .

Скопируйте эти Archive-Security-20xx-xx-xx-xx-xx-xx-xxx.evtx и текущий Security.evtx в отдельную папку.

Загрузите и установите Event Log Explorer (бесплатно для личного использования. Вы не сказали, готовы ли вы платить за решение и / или оно предназначено для личного использования). В его документации говорится только о файлах .evt, но, поскольку он также предназначен для Win7+, он также будет обрабатывать .evtx. Возможности программы говорят:

Event Log Explorer позволяет вам не только читать события из разных источников, но и объединять их в одном представлении событий. Вы можете рассмотреть такое представление как сплошной журнал. Вы даже можете сохранить этот объединенный журнал событий в виде файла EVT.

Теперь прочитайте все эти скопированные файлы в программу и запишите их обратно в c:\Windows\System32\winevt\Logs\Security.evtx . Я предполагаю, что вы можете перезаписать этот файл.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .