Questão Como podemos mesclar os logs de eventos do Windows no sistema operacional?


Em eventvwr, o log de eventos do sistema operacional foi configurado para arquivamento automático quando cheio:

enter image description here

Isso cria arquivos como "C: \ Windows \ System32 \ Winevt \ Logs \ Archive-Security-2016-10-07-09-29-41-743.evtx" quando o limite for ..Winevt \ Logs \ Security.evtx é atingido. Os eventos arquivados como tal não aparecem em eventvwr "o modo usual" em:

enter image description here

Como eles podem ser feitos para aparecer da maneira usual? 

Eu aumentei o limite de tamanho de log para acomodar todos os arquivos. Em seguida, como posso mesclar os logs de eventos ..Winevt\Logs\Archive-Security-***** de volta a ..Winevt\Logs\Security.evtx?


• versão Win 8.1 Core, se relevante.


0


origem




Respostas:


Isso não vai colocá-los de volta nos logs do sistema, mas porque não basta usar um visualizador .evtx como o Nirsoft? FullEventLogView v1.00 para inspecionar os arquivos separados. É mais fácil tentar forçar seus pinos quadrados em buracos redondos (supondo que eles ainda não se encaixem).

FullEventLogView é uma ferramenta simples para o Windows 10/8/7 / Vista que exibe em uma tabela os detalhes de todos os eventos dos logs de eventos do Windows, incluindo a descrição do evento. Ele permite que você visualize os eventos do seu computador local, eventos de um computador remoto em sua rede e eventos armazenados em arquivos .evtx. Ele também permite exportar a lista de eventos para o arquivo / html / xml delimitado por tabulação / texto / csv / tab na GUI e na linha de comando.

Selecionando a fonte:

enter image description here

Você pode fazer todos os tipos de filtragem nas Opções avançadas:

enter image description here


1



O Yea Nirsoft é uma boa ferramenta de visualização alternativa, mas estou tentando mesclar os logs no sistema para que eles possam ser reconhecidos pelos programas como Live Logs, em vez de logs arquivados. (Eles não deveriam ter sido arquivados em primeiro lugar.) - Pacerier


Aqui está um não testado maneira que você pode tentar (incluindo minhas suposições):

Seus logs de eventos atuais estão em c:\Windows\System32\winevt\Logs\.

Copie esses Archive-Security-20xx-xx-xx-xx-xx-xx-xxx.evtx  e o atual Security.evtx para uma pasta separada.

Baixar e instalar Explorador de Log de Eventos (Grátis para uso pessoal - Você não disse se estava disposto a pagar por uma solução e / ou se é para uso pessoal). Sua documentação fala apenas sobre arquivos .evt, mas como também é para o Win7 +, ele também irá lidar com .evtx. Os recursos do programa dizem:

O Event Log Explorer permite não apenas ler eventos de diferentes origens, mas consolidá-los em uma visualização de evento. Você pode revisar essa visão como um log sólido. Você pode até salvar esse log de eventos consolidado como um arquivo EVT.

Agora leia todos os arquivos copiados no programa e escreva-os de volta para c:\Windows\System32\winevt\Logs\Security.evtx. Eu estou supondo que você pode substituir esse arquivo.


1