使用以下过程可以手动保存事件日志中的事件。此外,某些日志保留策略可以自动保存事件。保存事件时,可以包括可用于在其他计算机上查看已保存事件的显示信息,而且可以包括可用于以不同语言查看已保存事件的信息。

导出和存档事件日志的步骤
  1. 启动事件查看器。

  2. 在控制台树中,导航到要存档的日志。

  3. “操作”菜单上,单击“将事件另存为”

  4. “文件名”中,输入存档的日志文件的名称。

  5. “保存类型”中,选择文件格式,然后单击“保存”

  6. (可选)如果不希望在其他计算机上查看事件日志信息,请在“显示信息”对话框中接受“没有显示信息”的默认值。

  7. (可选)如果希望在其他计算机上查看事件日志信息,请在“显示信息”对话框中单击“这些语言的显示信息”

  8. (可选)如果希望采用不同的语言查看事件日志信息,请选中“显示所有可用的语言”复选框。

  9. (可选)选中要包括语言信息的语言复选框。

  10. 单击“确定”

使用命令行导出和存档事件日志的步骤
  1. 若要打开命令提示符,请单击“开始”,在“开始搜索”框中键入 cmd,然后按 Enter

  2. 若要将日志导出至文件,请键入以下命令:

    wevtutil epl <LogName> <FileName.evtx>
  3. 若要存档包含显示信息的日志,请键入以下命令:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

若要查看附带 epl 选项的 wevutil 命令的完整语法,请在命令提示符下键入以下命令:

wevtutil epl /?

若要查看附带 epl 选项的 wevutil 命令的完整语法,请在命令提示符下键入以下命令:

wevtutil al /?

其他注意事项

  • 如果以 .evtx 文件格式将日志存档,则可以在事件查看器中将其重新打开。

  • 存档并不删除日志的内容。

  • 保存日志时不保留排序顺序。

  • 如果将筛选的日志存档,则将仅保存满足筛选器的记录。

  • 若要解决已在远程计算机上记录的事件的问题,必须导出并存档包含显示信息的日志。已保存事件的显示信息存储在 LocaleMetaData 文件夹中,在其他计算机上查看该信息时应连同日志信息一起移动。

其他资源