Главная » Linux

Выгрузка журналов событий windows

Содержание
  1. 1105 (S): автоматическое резервное копирование журнала событий 1105(S): Event log automatic backup
  2. Рекомендации по контролю безопасности Security Monitoring Recommendations
  3. Сохранение журнала событий в файле
  4. Дополнительные сведения
  5. Как экспортировать журналы событий Windows в Excel — Вокруг-Дом — 2021
  6. Table of Contents:
  7. Открыть Event Viewer и экспортировать журналы в файл CSV
  8. Шаг 1
  9. Шаг 2
  10. Шаг 3
  11. Шаг 4
  12. Шаг 5
  13. Шаг 6
  14. Шаг 7
  15. Шаг 8
  16. Открыть файл CSV в Excel и отсортировать по событию
  17. Шаг 1
  18. Шаг 2
  19. Шаг 3
  20. Шаг 4
  21. Шаг 5
  22. Шаг 6
  23. Шаг 7
  24. Шаг 8
  25. Шаг 9
  26. Шаг 10
  27. Шаг 11
  28. It’s a Boy Girl Thing (Апрель 2021).
  29. Экспорт, очистка и увеличение размера для журналов событий в Windows
  30. Экспорт журнала событий Windows
  31. Открыть сохраненный журнал
  32. Очистить журнал событий
  33. Увеличьте максимальный размер журнала событий

1105 (S): автоматическое резервное копирование журнала событий 1105(S): Event log automatic backup

Относится к: Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Подкатегория: Другие события Subcategory: Other Events

Описание события: Event Description:

Это событие создает каждый раз, когда журнал безопасности Windows становится полным и создается новый файл журнала событий. This event generates every time Windows security log becomes full and new event log file was created.

Это событие создает, например, если достигнут максимальный размер файла журнала событий безопасности и метод хранения журнала событий: «Архивировать журнал при полномобъеме,не перезаписывать события». This event generates, for example, if the maximum size of Security Event Log file was reached and event log retention method is: “Archive the log when full, do not overwrite events”.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Журнал [Type = UnicodeString]: имя архивного журнала (был создан новый файл журнала событий и архивирован предыдущий журнал событий). Log [Type = UnicodeString]: the name of the log that was archived (new event log file was created and previous event log was archived). Всегда «Безопасность» для журналов событий безопасности. Always “Security” for Security Event Logs.

Файл: [Type = FILETIME]: полный путь и имя файла архивного файла журнала. File: [Type = FILETIME]: full path and filename of archived log file.

Формат архивного имени файла журнала: «Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx». The format of archived log file name is: “Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx”. Где: Where:

LOG_FILE_NAME — имя архивного файла. LOG_FILE_NAME – the name of archived file.

Y — годы. Y – years.

M — месяцы. M – months.

h — часы. h – hours.

m — минуты. m – minutes.

s — секунд. s – seconds.

n — дробные секунды. n – fractional seconds.

Время в этом событии всегда находится в часовом поясе GMT+0/UTC+0. The time in this event is always in GMT+0/UTC+0 time zone.

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 1105 (S): автоматическое резервное копирование журнала событий. For 1105(S): Event log automatic backup.

  • Обычно это информационное событие, и никаких действий не требуется. Typically it’s an informational event and no actions are needed. Но если базовые параметры не заданной для архива журнала при полном объеме,не переописывайте события, это событие будет признаком того, что некоторые параметры не заданной для базовых параметров или были изменены. But if your baseline settings are not set to Archive the log when full, do not overwrite events, then this event will be a sign that some settings are not set to baseline settings or were changed.
Читайте также:  Пропала кнопка громкости windows 10

—>

Сохранение журнала событий в файле

С помощью следующей процедуры можно вручную сохранить события, зарегистрированные в журнале событий. Кроме того, некоторые политики сохранения могут сохранять события автоматически. При сохранении событий можно добавить сведения, позволяющие просматривать сохраненные события на других компьютерах и на других языках.

Чтобы экспортировать и сохранить журнал событий

Откройте оснастку «Просмотр событий».

В дереве консоли выберите журнал, который требуется сохранить в файле.

В меню Действие выберите команду Сохранить события как.

В поле Имя файла введите имя файла, в котором будет сохранен журнал.

Выберите формат файла из списка Тип файла и нажмите кнопку Сохранить.

(Необязательно) Если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения примите заданный по умолчанию вариант Не отображать сведения.

(Необязательно) Если журнал событий предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения выберите вариант Отображать сведения для следующих языков.

(Необязательно) Если журнал событий предназначен для просмотра на другом языке, установите флажок Показать все доступные языки.

(Необязательно) Установите флажки языков, для которых требуется добавить отображаемые сведения.

Нажмите кнопку ОК.

Чтобы экспортировать и сохранить журнал событий с помощью командной строки

    Чтобы открыть окно командной строки, нажмите кнопку Пуск, введите cmd в поле Начать поиск и нажмите клавишу ВВОД.

    Чтобы экспортировать журнал в файл, введите следующую команду:

    Чтобы сохранить журнал с отображением сведений, введите следующую команду:

    Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:

    Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:

    Дополнительные сведения

    • Файл журнала, сохраненный в формате EVTX, может быть открыт в оснастке «Просмотр событий».

    Сохранение журнала событий в файле не приводит к удалению содержимого журнала.

    Порядок сортировки при сохранении журнала не сохраняется.

    Если в журнале используется фильтр, в файле будут сохранены только записи, удовлетворяющие условиям фильтра.

    Для устранения неполадок, зарегистрированных в журнале событий на удаленном компьютере, необходимо экспортировать и сохранить журнал с отображением сведений. Отображаемые сведения для сохраненных событий хранятся в папке LocaleMetaData и при просмотре журнала на другом компьютере должны быть перемещены вместе со сведениями журнала.

    Как экспортировать журналы событий Windows в Excel — Вокруг-Дом — 2021

    Table of Contents:

    Средство просмотра событий Microsoft Windows регистрирует события, происходящие на компьютере под управлением Microsoft Windows. В журналах записываются различные события, в том числе информация о входе и выходе из учетной записи, информация о системе, предупреждения и ошибки. Журнал событий — это бесценный инструмент для устранения неполадок в сбое приложений или других системных ошибках. В собственном формате файлы журнала событий доступны для просмотра только в консоли просмотра событий. Однако журналы событий можно экспортировать из средства просмотра событий и импортировать в документ Excel. После сохранения в Excel список идентификаторов событий можно сортировать и анализировать по мере необходимости.

    Сохраните ценную системную информацию вашего компьютера, экспортируя журналы событий в Excel.

    Открыть Event Viewer и экспортировать журналы в файл CSV

    Шаг 1

    Щелкните правой кнопкой мыши значок «Компьютер» на рабочем столе. Если значок «Компьютер» отсутствует на рабочем столе, нажмите кнопку «Пуск», чтобы найти значок «Компьютер» в программах «Пуск».

    Шаг 2

    Нажмите «Управление» в окне параметров, чтобы открыть консоль Средства управления компьютером.

    Шаг 3

    Нажмите стрелку вправо перед группой «Просмотр событий», чтобы открыть доступные журналы просмотра событий.

    Шаг 4

    Щелкните правой кнопкой мыши журнал, который нужно экспортировать, например «Журнал событий безопасности». В доступных параметрах нажмите «Сохранить все события как…».

    Шаг 5

    Нажмите стрелку вниз в поле «Сохранить как тип:» и выберите «CSV (значение, разделенное запятыми) (* CSV)».

    Шаг 6

    Нажмите в поле «Имя файла:» и введите имя файла и сохраните местоположение для файла. Например: «c: SecurityEventLog» сохранит файл с именем SecurityEventLog и поместит его на диск C :.

    Шаг 7

    Нажмите «Сохранить», чтобы сохранить файл CSV на диске C :.

    Шаг 8

    Закройте консоль управления компьютером, нажав «X» в верхнем правом углу окна консоли.

    Открыть файл CSV в Excel и отсортировать по событию

    Шаг 1

    Откройте Microsoft Excel, нажав «Пуск», «Все программы», «Microsoft Office» и «Microsoft Office Excel».

    Шаг 2

    Нажмите кнопку «Офис» в верхнем левом углу приложения Excel и нажмите «Открыть».

    Шаг 3

    Введите «C: SecurityEventLog.cvs» в поле «имя файла:» и нажмите «Открыть», чтобы запустить мастер импорта текста.

    Шаг 4

    Выберите «С разделителями» на первой странице мастера импорта текста и нажмите «Далее».

    Шаг 5

    Выберите «Запятая» и отмените выбор «Tab» в разделе «Разделители» и нажмите «Далее».

    Шаг 6

    Выберите «Общие» в поле «Формат данных столбца» и нажмите «Готово», чтобы открыть журнал просмотра событий в Excel.

    Шаг 7

    Нажмите на заголовок столбца «Идентификатор события», чтобы выделить весь столбец идентификаторов событий.

    Шаг 8

    Нажмите «Данные» в меню в верхней части приложения Excel.

    Шаг 9

    Нажмите «Сортировка» на вкладке меню «Данные», выберите «Расширить выбор», когда появится окно «Предупреждение о сортировке», и нажмите «Сортировка».

    Шаг 10

    Нажмите «Идентификатор события» в раскрывающемся списке «Сортировать по», укажите порядок сортировки, выбрав один из доступных вариантов в раскрывающемся списке «Порядок», и нажмите «ОК».

    Шаг 11

    Просмотрите список идентификаторов событий Windows в Excel и сохраните файл для дальнейшего использования.

    It’s a Boy Girl Thing (Апрель 2021).


  3. Экспорт, очистка и увеличение размера для журналов событий в Windows

    Средство просмотра событий в Windows — это централизованная служба журналов, используемая приложениями и компонентами операционной системы для сообщения о произошедших событиях, таких как сбой при выполнении действия или запуск компонента или программы.

    В средстве просмотра событий есть несколько разделов, таких как « Приложение и безопасность» в разделе «Журналы Windows» и «Журналы приложений и служб» . Списки событий в каждом разделе средства просмотра событий накапливаются с течением времени, и списки могут становиться очень длинными и сокращать время загрузки средства просмотра событий. Это также может затруднить поиск проблем. Вы можете даже встретить сообщение о том, что журнал событий заполнен.

    В этой статье объясняется, как экспортировать журналы событий для их резервного копирования, как их очистить и как увеличить размер журнала событий.

    Экспорт журнала событий Windows

    Рекомендуется экспортировать журнал событий для резервного копирования перед очисткой. Для этого щелкните правой кнопкой мыши журнал, который вы хотите экспортировать, в дереве слева от окна «Просмотр событий» и выберите « Сохранить все события как» во всплывающем меню. Используйте стрелки справа от элементов дерева, чтобы развернуть и свернуть различные разделы дерева.

    ПРИМЕЧАНИЕ. Вы также можете нажать « Сохранить все события как» в списке « Действия» в правой части окна. Имя выбранного журнала отображается в виде заголовка над доступными параметрами.

    Если вы не видите доступных опций, которые также доступны во всплывающем меню под названием выбранного журнала, щелкните стрелку вниз на заголовке, чтобы развернуть список.

    В диалоговом окне « Сохранить как » перейдите туда, куда вы хотите сохранить файл журнала событий. Введите имя сохраненного файла журнала в поле « Имя файла» и выберите тип файла в раскрывающемся списке «Тип файла».

    ПРИМЕЧАНИЕ. Вы можете сохранить файл журнала в виде файла событий ( .evtx ), файла XML ( .xml ), файла с разделителями табуляции ( .txt ) или файла, разделенного запятыми ( .csv ). Единственный тип файлов, который вы можете снова импортировать в программу просмотра событий, — это тип .evtx . Другие типы позволяют просматривать данные журнала за пределами средства просмотра событий, но файлы нельзя импортировать обратно в средство просмотра событий.

    Нажмите Сохранить, чтобы сохранить журнал событий в файл.

    Если вы выбрали тип файла .evtx, отобразится диалоговое окно « Отображение информации ». Если вы хотите иметь возможность импортировать данные журнала в программу просмотра событий на другом компьютере, вам может потребоваться включить отображаемую информацию в экспортированный файл журнала. Выберите переключатель Отображать информацию для этих языков . Если вам нужен другой язык, установите флажок Показать все доступные языки и установите флажок для нужного языка, если он доступен. Нажмите ОК .

    Каталог, содержащий метаданные для вашей локали, записывается в тот же каталог, что и сохраненный вами файл журнала.

    Открыть сохраненный журнал

    Чтобы открыть файл журнала, который вы экспортировали как файл .evtx, выберите « Открыть сохраненный журнал» в меню « Действие» .

    В диалоговом окне « Открыть сохраненный журнал » перейдите туда, где вы сохранили файл .evtx, выберите его и нажмите « Открыть» .

    Очистить журнал событий

    После экспорта журнала вы можете легко очистить его. Для этого выберите « Очистить журнал» в меню « Действие» .

    ПРИМЕЧАНИЕ. Вы также можете щелкнуть правой кнопкой мыши журнал и выбрать « Очистить журнал» во всплывающем меню или щелкнуть « Очистить журнал» в списке действий в правой части окна «Просмотр событий».

    Появится диалоговое окно, позволяющее сохранить журнал перед очисткой, если вы еще не экспортировали его. Если щелкнуть « Сохранить и очистить», отобразится то же диалоговое окно « Сохранить как », которое упоминалось ранее, и отобразится диалоговое окно « Информация об отображении», если вы выберите тип файла .evtx . Если вы уже сохранили файл журнала, нажмите « Очистить», чтобы очистить журнал.

    Увеличьте максимальный размер журнала событий

    Если вы получили сообщение о том, что журнал событий заполнен, вы можете увеличить максимально допустимый размер этого журнала. Для этого щелкните правой кнопкой мыши нужный журнал и выберите « Свойства» во всплывающем меню.

    ПРИМЕЧАНИЕ. Опять же, вы можете получить доступ к опции « Свойства» из меню « Действие» или из списка « Действия» .

    Откроется диалоговое окно « Свойства журнала ». Чтобы увеличить максимально допустимый размер для выбранного журнала, щелкните стрелку вверх в поле редактирования Максимальный размер журнала, чтобы изменить его количество (в килобайтах). Вы также можете выделить текущий номер и ввести новый номер.

    Выберите действие, которое нужно выполнить при достижении максимального размера журнала событий. Вы можете выбрать « Перезаписывать» события по мере необходимости, начиная с самых старых событий, « Заархивировать журнал при заполнении», который не перезаписывает какие-либо события, или « Не перезаписывать события», что означает, что вы должны очистить журнал событий вручную.

    Вы также можете очистить выбранный журнал в диалоговом окне Свойства журнала, нажав Очистить журнал . Нажмите OK, когда вы закончите вносить изменения.

    Чтобы закрыть окно просмотра событий, выберите « Выход» в меню « Файл» .

    Средство просмотра событий Windows — это полезный инструмент для получения информации о вашем оборудовании, программном обеспечении и системных компонентах. Он может помочь вам определить текущие системные проблемы, например, почему ваш компьютер вышел из строя или что вызвало последнюю проблему с определенной программой. Наслаждайтесь!

    Читайте также:  Видеопроигрыватель для linux mint
Оцените статью
© 2024 Советы по настройке компьютера