Zdarzenia z dziennika zdarzeń można zapisać ręcznie, korzystając z poniższej procedury. Ponadto niektóre zasady przechowywania dzienników mogą automatycznie zapisywać zdarzenia. Zapisując zdarzenia, można załączać informacje o wyświetlaniu, które umożliwią wgląd w zapisane zdarzenia na innym komputerze, oraz informacje umożliwiające przeglądanie zapisanych zdarzeń w innym języku.

Aby wyeksportować i zarchiwizować dziennik zdarzeń
  1. Uruchom Podgląd zdarzeń.

  2. W drzewie konsoli przejdź do dziennika, który chcesz zarchiwizować.

  3. W menu Akcja kliknij polecenie Zapisz zdarzenia jako.

  4. W polu Nazwa pliku wprowadź nazwę dla zarchiwizowanego pliku dziennika.

  5. W polu Zapisz jako typ wybierz format pliku, a następnie kliknij przycisk Zapisz.

  6. (Opcjonalnie) Aby zapobiec możliwości przeglądania dziennika zdarzeń na innym komputerze, w oknie dialogowym Informacje o wyświetlaniu zaakceptuj domyślne ustawienie Bez informacji o wyświetlaniu.

  7. (Opcjonalnie) Jeśli dziennik zdarzeń ma nie być przeglądany na innym komputerze, w oknie dialogowym Informacje o wyświetlaniu zaakceptuj domyślne ustawienie Bez informacji o wyświetlaniu.

  8. (Opcjonalnie) Jeśli informacje z dziennika zdarzeń mają być przeglądane w różnych językach, zaznacz pole wyboru Pokaż wszystkie dostępne języki.

  9. (Opcjonalnie) Zaznacz pola wyboru języków, dla których mają być załączone informacje językowe.

  10. Kliknij przycisk OK.

Aby zarchiwizować dziennik zdarzeń przy użyciu wiersza polecenia
  1. Aby otworzyć wiersz polecenia, kliknij przycisk Start, a następnie wpisz polecenie cmd w polu Rozpocznij wyszukiwanie i naciśnij klawisz Enter.

  2. Aby wyeksportować dziennik do pliku, wpisz następujące polecenie:

    wevtutil epl <LogName> <FileName.evtx>
  3. Aby zarchiwizować dziennik z informacjami o wyświetlaniu, wpisz następujące polecenie:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

Aby wyświetlić pełną składnię polecenia wevtutil z opcją epl, wpisz w wierszu polecenia następujące polecenie:

wevtutil epl /?

Aby wyświetlić pełną składnię polecenia wevtutil z opcją epl, wpisz w wierszu polecenia następujące polecenie:

wevtutil al /?

Uwagi dodatkowe

  • Jeśli zarchiwizujesz dziennik w formacie pliku evtx, możesz go ponownie otworzyć w Podglądzie zdarzeń.

  • Archiwizacja nie usuwa zawartości dziennika.

  • Podczas zapisywania dzienników nie jest zachowywany porządek sortowania.

  • W przypadku archiwizowania filtrowanego dziennika zostaną zapisane tylko rekordy spełniające warunki filtru.

  • Aby rozwiązać problemy zdarzeń, które zostały zarejestrowane na komputerze zdalnym, należy wyeksportować i zarchiwizować dziennik z informacjami o wyświetlaniu. Informacje o wyświetlaniu dla zapisanych zdarzeń są przechowywane w folderze LocaleMetaData i powinny być przenoszone z informacjami dziennika, gdy mają być przeglądane na innym komputerze.

Zasoby dodatkowe