Vous pouvez enregistrer manuellement les événements dans un journal des événements à l’aide de la procédure suivante. De plus, certaines stratégies de rétention de journaux permettent de sauvegarder automatiquement des événements. Lorsque vous enregistrez des événements, vous pouvez inclure des informations d’affichage afin de permettre l’affichage d’événements enregistrés sur un autre ordinateur. Vous pouvez également inclure des informations afin d’afficher les événements enregistrés dans une autre langue.

Pour exporter et archiver un journal des événements

  1. Démarrez l’observateur d’événements.

  2. Dans l’arborescence de la console, naviguez jusqu’au journal que vous souhaitez archiver.

  3. Dans le menu Action, cliquez sur Enregistrer les événements sous.

  4. Dans Nom du fichier, entrez un nom pour le fichier journal archivé.

  5. Dans la zone Type, sélectionnez un format de fichier, puis cliquez sur Enregistrer.

  6. (Facultatif) Dans la boîte de dialogue Informations d’affichage, si vous n’avez pas l’intention d’afficher les informations du journal des événements sur un autre ordinateur, acceptez l’option par défaut (Aucune information d’affichage).

  7. (Facultatif) Dans la boîte de dialogue Informations d’affichage, si vous avez l’intention d’afficher les informations du journal des événements sur un autre ordinateur, cliquez sur Informations d’affichage pour ces langues.

  8. (Facultatif) Si vous avez l’intention d’afficher les informations du journal des événements dans une autre langue, activez la case à cocher Afficher toutes les langues disponibles.

  9. (Facultatif) Activez les cases à cocher correspondant aux langues dont vous souhaitez inclure les informations.

  10. Cliquez sur OK.
Pour exporter et archiver un journal des événements à partir d’une ligne de commande

  1. Pour ouvrir une invite de commandes, cliquez sur Démarrer, tapez cmd dans la zone Rechercher, puis appuyez sur Entrée.

  2. Pour exporter le journal dans un fichier, tapez la commande suivante :

    wevtutil epl <LogName> <FileName.evtx>

  3. Pour archiver le journal avec des informations d’affichage, tapez la commande suivante :

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

Pour afficher la syntaxe complète de la commande wevutil avec l’option epl, à l’invite de commandes, tapez :

wevtutil epl /?

Pour afficher la syntaxe complète de la commande wevutil avec l’option al, à l’invite de commandes, tapez :

wevtutil al /?

Considérations supplémentaires

  • Si vous archivez un journal au format de fichier .evtx, vous pourrez le rouvrir par la suite dans l’observateur d’événements.

  • L’archivage ne supprime pas le contenu du journal.

  • L’ordre de tri n’est pas conservé lorsque les journaux sont enregistrés.

  • Si vous archivez un journal filtré, seuls les enregistrements satisfaisant aux conditions du filtre seront sauvegardés.

  • Pour résoudre les événements qui ont été enregistrés sur un ordinateur distant, vous devez exporter et archiver le journal avec les informations d’affichage. Les informations d’affichage pour les événements enregistrés sont stockées dans le dossier LocaleMetaData et doivent être transférées avec les informations du journal lorsque les informations sont affichées sur un autre ordinateur.

Ressources supplémentaires

Table des matières