Wie führen wir Windows-Ereignisprotokolle in das Betriebssystem ein?

Question

Wie führen wir Windows-Ereignisprotokolle in das Betriebssystem ein?

In eventvwr wurde das OS-Ereignisprotokoll auf Automatisches Archivieren gesetzt, wenn es voll ist:

Dies erstellt Dateien wie "C:\Windows\System32\Winevt\Logs\Archive-Security-2016-10-07-09-29-41-743.evtx", wenn die Grenze für ..Winevt\Logs\Security.evtx erreicht ist. Die als solche archivierten Ereignisse werden in eventvwr nicht "wie gewohnt" unter:

Wie können sie gemacht werden, um den üblichen Weg zu zeigen?

Habe ich das Protokollgrößenlimit wurde erhöht, um alle Archive aufzunehmen. Wie kann ich als nächstes die Ereignisprotokolle ..Winevt\Logs\Archive-Security-***** wieder zu ..Winevt\Logs\Security.evtx zusammenführen?

_{• version Win 8.1 Kern, falls relevant.}

0

windows security archiving event-log

Author: Pacerier, 2016-10-07

Source

2 answers

score 1 · Answer 1

Dadurch werden sie nicht wieder in die Systemprotokolle eingefügt, aber warum nicht einfach ein .evtx Viewer wie Nirsoft FullEventLogView v1. 00, um die einzelnen Dateien zu überprüfen. Das ist einfacher, als zu versuchen, Ihre quadratischen Stifte in runde Löcher zu zwingen (vorausgesetzt, sie passen immer noch nicht).

FullEventLogView ist ein einfaches Tool für Windows 10/8/7 / Vista, das in einer Tabelle die Details aller Ereignisse aus den Ereignisprotokollen von Windows einschließlich der Ereignisbeschreibung anzeigt. Es ermöglicht Ihnen, die Ereignisse anzuzeigen ihres lokalen Computers, Ereignisse eines Remote-Computers in Ihrem Netzwerk und Ereignisse in gespeichert .evtx-Dateien. Außerdem können Sie die Ereignisliste über die GUI und über die Befehlszeile in die Datei text/csv/tabulatorgetrennte/html/xml exportieren.

Quelle auswählen:

Sie können alle Arten von Filterung in den erweiterten Optionen tun:

score 1 · Answer 2

Hier ist ein ungetesteter Weg, den Sie versuchen können (einschließlich meiner Annahmen):

Ihre aktuellen Ereignisprotokolle befinden sich in c:\Windows\System32\winevt\Logs\.

Kopieren Sie diese Archive-Security-20xx-xx-xx-xx-xx-xx-xxx.evtx und die aktuelle Security.evtx in einen separaten Ordner.

Downloaden und installieren Sie Event Log Explorer (Kostenlos für den persönlichen Gebrauch - Sie haben nicht gesagt, ob Sie bereit sind, für eine Lösung zu bezahlen und / oder ob sie für den persönlichen Gebrauch bestimmt ist). Seine Dokumentation spricht nur über .evt-Dateien, aber da es auch für Win7+ ist, wird es umgehen .evtx-als gut. Die Programmfunktionen sagen:

Mit dem Ereignisprotokoll-Explorer können Sie Ereignisse aus verschiedenen Quellen nicht nur lesen, sondern in einer Ereignisansicht konsolidieren. Sie können eine solche Ansicht als solides Protokoll überprüfen. Sie können dieses konsolidierte Ereignisprotokoll sogar als EVT-Datei speichern.

Lesen Sie nun alle diese kopierten Dateien in das Programm und schreiben Sie sie alle wieder in c:\Windows\System32\winevt\Logs\Security.evtx. Ich nehme an, Sie können diese Datei überschreiben.