Sie können die Ereignisse in einem Ereignisprotokoll mit dem folgenden Vorgang manuell speichern. Darüber hinaus können Ereignise von bestimmten Protokollbeibehaltungsrichtlinien automatisch gespeichert werden. Beim Speichern von Ereignissen können Sie Anzeigeinformationen aufnehmen, wodurch die gespeicherten Ereignisse auf einem anderen Computer angezeigt werden können. Sie können auch Informationen aufnehmen, die es ermöglichen, dass die gespeicherten Ereignisse in einer anderen Sprache angezeigt werden.

So exportieren und archivieren Sie ein Ereignisprotokoll
  1. Starten Sie die Ereignisanzeige.

  2. Wechseln Sie in der Konsolenstruktur zu dem zu archivierenden Protokoll.

  3. Klicken Sie im Menü Datei auf Ereignisse speichern unter.

  4. Geben Sie im Feld Dateiname einen Namen für die zu archivierende Protokolldatei ein.

  5. Wählen Sie unter Dateityp den gewünschten Dateityp aus, und klicken Sie auf Speichern.

  6. (Optional) Übernehmen Sie im Dialogfeld Anzeigeinformationen die Standardeinstellung Keine Anzeigeinformationen, wenn die Ereignisprotokollinformationen nicht auf einem anderen Computer angezeigt werden sollen.

  7. (Optional) Klicken Sie im Dialogfeld Anzeigeinformationen auf Anzeigeinformationen für diese Sprachen, wenn die Ereignisprotokollinformationen auf einem anderen Computer angezeigt werden sollen.

  8. (Optional) Wenn die Ereignisprotokollinformationen in einer anderen Sprache angezeigt werden sollen, aktivieren Sie das Kontrollkästchen Alle verfügbaren Sprachen anzeigen.

  9. (Optional) Aktivieren Sie die Kontrollkästchen für die gewünschten Sprachen.

  10. Klicken Sie auf OK.

So exportieren und archivieren Sie ein Ereignisprotokoll mithilfe einer Befehlszeile
  1. Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, geben Sie in das Feld Suche starten die Zeichenfolge cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie den folgenden Befehl ein, um das Protokoll in eine Datei zu exportieren:

    wevtutil epl <LogName> <FileName.evtx>
  3. Geben Sie den folgenden Befehl ein, um das Protokoll mit Anzeigeinformationen zu archivieren:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

Geben Sie zum Anzeigen der vollständigen Syntax für den Befehl wevutil mit der Option epl an einer Eingabeaufforderung Folgendes ein:

wevtutil epl /?

Geben Sie zum Anzeigen der vollständigen Syntax für den Befehl wevutil mit der Option epl an einer Eingabeaufforderung Folgendes ein:

wevtutil al /?

Weitere Überlegungen

  • Wenn Sie ein Protokoll im Dateiformat EVTX archivieren, kann es in der Ereignisanzeige geöffnet werden.

  • Beim Archivieren wird der Inhalt des Protokolls nicht gelöscht.

  • Beim Speichern eines Protokolls bleibt die Sortierreihenfolge nicht erhalten.

  • Wenn Sie ein gefiltertes Protokoll archivieren, werden nur die Einträge gespeichert, die mit den Filterkriterien übereinstimmen.

  • Zur Problembehandlung von Ereignissen, die auf einem Remotecomputer protokolliert wurden, müssen Sie das Protokoll exportieren und mit den Anzeigeinformationen archivieren. Die Anzeigeinformationen für die gespeicherten Ereignisse werden im Ordner LocaleMetaData gespeichert und müssen mit den Protokollinformationen verschoben werden, wenn die Informationen auf einem anderen Computer angezeigt werden.

Weitere Verweise