- Сохранение журнала событий в файле
- Дополнительные сведения
- 1105 (S): автоматическое резервное копирование журнала событий 1105(S): Event log automatic backup
- Рекомендации по контролю безопасности Security Monitoring Recommendations
- Сохранение журнала событий Save Event Log
- Настройка действия «Сохранение журнала событий» Configuring the Save Event Log Activity
- Вкладка «Подробные сведения» Details Tab
- Вкладка «фильтры» Filters Tab
- Вкладка «выходные данные» Output Tab
- Опубликованные данные Published Data
Сохранение журнала событий в файле
С помощью следующей процедуры можно вручную сохранить события, зарегистрированные в журнале событий. Кроме того, некоторые политики сохранения могут сохранять события автоматически. При сохранении событий можно добавить сведения, позволяющие просматривать сохраненные события на других компьютерах и на других языках.
 | Чтобы экспортировать и сохранить журнал событий |
Откройте оснастку «Просмотр событий».
В дереве консоли выберите журнал, который требуется сохранить в файле.
В меню Действие выберите команду Сохранить события как.
В поле Имя файла введите имя файла, в котором будет сохранен журнал.
Выберите формат файла из списка Тип файла и нажмите кнопку Сохранить.
(Необязательно) Если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения примите заданный по умолчанию вариант Не отображать сведения.
(Необязательно) Если журнал событий предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения выберите вариант Отображать сведения для следующих языков.
(Необязательно) Если журнал событий предназначен для просмотра на другом языке, установите флажок Показать все доступные языки.
(Необязательно) Установите флажки языков, для которых требуется добавить отображаемые сведения.
Нажмите кнопку ОК.
| Чтобы экспортировать и сохранить журнал событий с помощью командной строки |
- Файл журнала, сохраненный в формате EVTX, может быть открыт в оснастке «Просмотр событий».
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
- Обычно это информационное событие, и никаких действий не требуется. Typically it’s an informational event and no actions are needed. Но если базовые параметры не заданной для архива журнала при полном объеме,не переописывайте события, это событие будет признаком того, что некоторые параметры не заданной для базовых параметров или были изменены. But if your baseline settings are not set to Archive the log when full, do not overwrite events, then this event will be a sign that some settings are not set to baseline settings or were changed.
Чтобы открыть окно командной строки, нажмите кнопку Пуск, введите cmd в поле Начать поиск и нажмите клавишу ВВОД.
Чтобы экспортировать журнал в файл, введите следующую команду:
Чтобы сохранить журнал с отображением сведений, введите следующую команду:
Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:
Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:
Дополнительные сведения
Сохранение журнала событий в файле не приводит к удалению содержимого журнала.
Порядок сортировки при сохранении журнала не сохраняется.
Если в журнале используется фильтр, в файле будут сохранены только записи, удовлетворяющие условиям фильтра.
Для устранения неполадок, зарегистрированных в журнале событий на удаленном компьютере, необходимо экспортировать и сохранить журнал с отображением сведений. Отображаемые сведения для сохраненных событий хранятся в папке LocaleMetaData и при просмотре журнала на другом компьютере должны быть перемещены вместе со сведениями журнала.
1105 (S): автоматическое резервное копирование журнала событий 1105(S): Event log automatic backup
Относится к: Applies to
Подкатегория: Другие события Subcategory: Other Events
Описание события: Event Description:
Это событие создает каждый раз, когда журнал безопасности Windows становится полным и создается новый файл журнала событий. This event generates every time Windows security log becomes full and new event log file was created.
Это событие создает, например, если достигнут максимальный размер файла журнала событий безопасности и метод хранения журнала событий: «Архивировать журнал при полномобъеме,не перезаписывать события». This event generates, for example, if the maximum size of Security Event Log file was reached and event log retention method is: “Archive the log when full, do not overwrite events”.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.
XML события: Event XML:
Необходимые роли сервера: нет. Required Server Roles: None.
Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
Версии события: 0. Event Versions: 0.
Описания полей: Field Descriptions:
Журнал [Type = UnicodeString]: имя архивного журнала (был создан новый файл журнала событий и архивирован предыдущий журнал событий). Log [Type = UnicodeString]: the name of the log that was archived (new event log file was created and previous event log was archived). Всегда «Безопасность» для журналов событий безопасности. Always “Security” for Security Event Logs.
Файл: [Type = FILETIME]: полный путь и имя файла архивного файла журнала. File: [Type = FILETIME]: full path and filename of archived log file.
Формат архивного имени файла журнала: «Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx». The format of archived log file name is: “Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx”. Где: Where:
LOG_FILE_NAME — имя архивного файла. LOG_FILE_NAME – the name of archived file.
Y — годы. Y – years.
M — месяцы. M – months.
h — часы. h – hours.
m — минуты. m – minutes.
s — секунд. s – seconds.
n — дробные секунды. n – fractional seconds.
Время в этом событии всегда находится в часовом поясе GMT+0/UTC+0. The time in this event is always in GMT+0/UTC+0 time zone.
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 1105 (S): автоматическое резервное копирование журнала событий. For 1105(S): Event log automatic backup.
—>
Сохранение журнала событий Save Event Log
Эта версия Orchestrator достигла конца поддержки, мы рекомендуем выполнить обновление до Orchestrator 2019. This version of Orchestrator has reached the end of support, we recommend you to upgrade to Orchestrator 2019.
Действие сохранить журнал событий используется для сохранения записей из журнала событий, чтобы их можно было использовать позже. The Save Event Log activity is used to save entries from an event log so that they can be used later. Действие сохранить журнал событий сохраняет записи журнала событий в текстовый файл с разделителями в указанном формате. The Save Event Log activity saves the event log entries to a delimited text file in a format that you specify. Действие позволяет выбирать, какие поля будут сохранены, и позволяет фильтровать по полям, разрешая сохранение определенных записей журнала событий. The activity allows you to choose which fields will be saved and allows you to filter against the fields to only allow particular event log entries to be saved. Это действие использует вспомогательную лицензию. This activity uses a satellite license.
Действие сохранить журнал событий можно использовать для создания журнала аудита проблем, возникающих в конкретном приложении, или определенных категорий записей в журнале событий. The Save Event Log activity can be used to create audit trails of problems that occur with a particular application or specific categories of event log entries. Эти сохраненные файлы впоследствии можно использовать для наблюдения за производительностью серверов и приложений в сети. These saved files can later be used to track the performance of servers and applications in your network.
Настройка действия «Сохранение журнала событий» Configuring the Save Event Log Activity
Перед настройкой действия «сохранить журнал событий» необходимо определить следующее. Before you configure the Save Event Log activity, you need to determine the following:
Журнал событий, из которого выполняется сохранение The event log that you are saving from
Компьютер, на котором он расположен The computer where it is located
Поля, которые необходимо включить The fields that you want to include
Формат файла The format of the file
Если требуется сохранять только определенные записи, а не весь журнал событий, необходимо знать, в каких полях будет выполняться фильтрация, а также какие значения фильтровать. If you require only specific entries to be saved and not the entire event log, you will need to know what fields to filter against as well as what values to filter.
Используйте следующие сведения для настройки действия «сохранить журнал событий». Use the following information to configure the Save Event Log activity.
Вкладка «Подробные сведения» Details Tab
| Параметры Settings | Инструкции по настройке Configuration Instructions |
|---|---|
| Компьютер Computer | Введите компьютер, на котором находится журнал событий. Type the computer where the event log is located. Введите, localhost чтобы указать сервер Runbook, на котором выполняется обработка модуля Runbook. Type localhost to specify the runbook server where the runbook is being processed. Для поиска компьютера можно также использовать кнопку с многоточием (. ) . You can also use the ellipsis ( . ) button to browse for the computer. |
| Журнал событий Event log | Введите имя журнала событий Windows, в котором находятся записи, которые необходимо сохранить. Type the name of the Windows Event Log where the entries that you are saving are located. Для поиска имени журнала событий можно также использовать кнопку с многоточием (. ) . You can also use the ellipsis ( . ) button to browse for the event log name. Просмотр доступен, только если указан допустимый компьютер. Browsing is only available if you have specified a valid Computer. |
| Относится Include | Выберите все поля журнала событий, которые необходимо сохранить в файле. Select all the event Log fields that you want to save to the file. Вы можете выбрать идентификатор события, источник, категорию, Описание, тип, компьютер и дату и время. You have the option to select Event ID, Source, Category, Description, Type, Computer, and Date/time. |
Вкладка «фильтры» Filters Tab
| Параметры Settings | Инструкции по настройке Configuration Instructions |
|---|---|
| Идентификатор события Event ID | Выберите и введите идентификатор события записи журнала событий, которую необходимо сохранить. Select and type the specific event ID of the event log entry that you want to save. |
| Источник Source | Выберите и введите значение, которое должно совпадать с исходным полем записей журнала событий. Select and type the value that the Source field of the event log entries will need to match. |
| Категория Category | Выберите и введите значение, которое должно совпадать с полем категории в записях журнала событий. Select and type the value that the Category field of the event log entries will need to match. |
| Описание Description | Выберите и введите значение, которое должно совпадать с полем описания в записях журнала событий. Select and type the value that the Description field of the event log entries will need to match. |
| Тип Type | Выберите и укажите значение, которое должно совпадать с полем типа в записях журнала событий. Select and specify the value that the Type field of the event log entries will need to match. |
| Компьютер Computer | Выберите и укажите значение, которое должно совпадать с полем компьютера в записях журнала событий. Select and specify the value that the Computer field of the event log entries will need to match. |
| Дата с Date from | Выберите и укажите диапазон дат, в которые должны быть добавлены события. Select and specify the ranges of dates that the events will need to be from to be included. |
Вкладка «выходные данные» Output Tab
| Параметры Settings | Инструкции по настройке Configuration Instructions |
|---|---|
| Имя файла File name | Введите имя файла, в котором будут сохраняться записи журнала событий. Type the name of the file where the event log entries will be saved. Этот файл будет сохранен на компьютере, где находится журнал событий. This file will be saved on the computer where the event log resides. |
| Если файл существует If the file exists | Выберите действие, которое требуется выполнить, если файл с таким именем уже существует: Select the action that you want to take if a file with the same name already exists: |
— Создать файл с уникальным именем: выберите, чтобы присоединить значение к имени файла, чтобы создать уникальное имя, которое не конфликтует с существующим именем. — Create a file with a unique name: Select to append a value to the filename to create a unique name that does not conflict with an existing name.
— Добавить: выберите, чтобы добавить записи, сохраняемые в файл. — Append: Select to append the entries that are being saved to the file.
— Перезаписать: выберите, чтобы перезаписать существующий файл создаваемым файлом. — Overwrite: Select to overwrite the existing file with the file that is being created.
— Ошибка: выберите, чтобы действие «сохранить журнал событий» завершилось ошибкой, если имя файла уже существует. — Fail: Select to cause the Save Event Log activity to fail if the filename already exists.
— Разделители CSV: выберите, чтобы использовать формат CSV для записи каждой записи журнала. — CSV Delimited: Select to use the CSV format to write each log entry.
— Разделитель табуляции: выберите для разделения полей в каждой записи с помощью символа табуляции. — TAB Delimited: Select to separate fields in each entry using the TAB character.
— Настраиваемые разделители: выберите для разделения полей в каждой записи с помощью пользовательского символа, указанного в поле Разделитель . — Custom Delimited: Select to separate fields in each entry using a custom character that you specify in the Delimiter box.
Опубликованные данные Published Data
В следующей таблице перечислены опубликованные элементы данных. The following table lists the published data items.
