Você pode salvar os eventos manualmente em um log de eventos através do procedimento a seguir. Além disso, determinadas diretivas de retenção de log podem salvar eventos automaticamente. Ao salvar eventos, você pode incluir informações de exibição que permitam que os eventos salvos sejam exibidos em outro computador e informações que permitam que eles sejam exibidos em um idioma diferente.

Para exportar e arquivar um log de eventos
  1. Inicie o Visualizador de Eventos.

  2. Na árvore de console, navegue para o log que deseja arquivar.

  3. No menu Ação, clique em Salvar Eventos como.

  4. Em Nome do arquivo, digite um nome para o arquivo de log arquivado.

  5. Em Salvar como tipo, selecione um formato de arquivo e, em seguida, clique em Salvar.

  6. (Opcional) Na caixa de diálogo Informações de Exibição, para que as informações de log de eventos não sejam exibidas em outro computador, aceite o padrão de Nenhuma informação de exibição.

  7. (Opcional) Na caixa de diálogo Informações de Exibição, para que as informações de log de eventos sejam exibidas em outro computador, clique em Exibir informações para estes idiomas.

  8. (Opcional) Para que as informações do log de eventos sejam exibidas em um idioma diferente, marque a caixa de seleção Mostrar todos os idiomas disponíveis.

  9. (Opcional) Marque as caixas de seleção dos idiomas para os quais você deseja incluir as informações sobre idioma.

  10. Clique em OK.

Para exportar e arquivar um log de eventos usando uma linha de comando
  1. Para abrir um prompt de comando, clique em Iniciar, digite cmd na caixa Iniciar Pesquisa e pressione Enter.

  2. Para exportar o log para um arquivo, digite o seguinte comando:

    wevtutil epl <LogName> <FileName.evtx>
  3. Para arquivar o log com as informações de exibição, digite o seguinte comando:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

Para exibir a sintaxe completa para o comando wevutil com a opção epl, digite o seguinte em um prompt de comando:

wevtutil epl /?

Para exibir a sintaxe completa do comando wevutil com a opção epl, digite o seguinte em um prompt de comando:

wevtutil al /?

Considerações adicionais

  • Se tiver arquivado um log no formato de arquivo .evtx, você poderá reabri-lo no recurso Visualizador de Eventos.

  • O arquivamento não exclui o conteúdo do log.

  • A ordem de classificação não é mantida quando os logs são salvos.

  • Se você arquivar um log que esteja filtrado, somente os recursos que satisfazem o filtro serão salvos.

  • Para solucionar problemas de eventos que foram acessados em um computador remoto, é necessário exportar e arquivar o log com as informações de exibição. As informações de exibição para os eventos salvos são armazenadas na pasta LocaleMetaData e devem ser movidas com as informações de log quando forem exibidas em outro computador.

Recursos adicionais