可以使用事件查看器或命令提示符下的 wevtutil 命令来管理远程计算机上的事件日志。

使用事件查看器管理远程计算机上的事件日志的步骤

  1. 启动事件查看器。

  2. 在控制台树中单击根节点,例如“事件查看器(本地)”

  3. “操作”菜单上,单击“连接到另一台计算机”

  4. “其他计算机”框中,键入远程计算机的名称或 IP 地址。

  5. (可选)选择“以其他用户身份连接”,单击“设置用户”,输入“用户名”“密码”,然后单击“确定”

  6. 单击“确定”
使用 wevtutil 管理远程计算机上的事件日志的步骤

  1. 若要打开“命令提示符”窗口,请单击“开始”,在“开始搜索”框中键入 cmd,然后按 Enter

  2. 在命令提示符窗口中键入以下命令:

    wevtutil <command> /r:<remote_computer_name>

  3. (可选)若要以其他用户身份管理远程计算机上的事件日志,请在命令提示符窗口中键入以下命令:

    wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password>

其他注意事项

  • 必须在要连接的远程计算机的 Windows 防火墙设置中启用“远程事件日志管理”例外。

  • 可以在命令提示符窗口中键入 eventvwr <remote_computer_name> ,以启动事件查看器并连接到远程计算机。您还可以包括用于以指定的自定义视图或以所选的特定日志启动事件查看器的选项。若要了解有关 eventvwr 命令的详细信息,请在命令提示符窗口中键入 eventvwr /?。尽管可以使用 eventvwr 命令启动事件查看器并连接到运行早期版本 Windows 的计算机,但将忽略任何指定的选项。

  • 连接到远程计算机时,事件查看器所显示的自定义视图是存储在本地计算机上的自定义视图。如果单击那些本地自定义视图之一,则将针对远程计算机上的事件日志运行基础查询。

  • 连接到远程计算机时,事件查看器所显示的外部日志是已在本地计算机上引用的那些日志。

  • 如果在连接到远程计算机时尝试显示引用本地外部日志的自定义视图,则可能会遇到错误。发生这种情况是因为事件查看器尝试在远程计算机上而非本地计算机上打开那些外部日志。如果使用 UNC 路径名引用外部日志,就不会发生此问题。

  • 若要从远程计算机查看已保存的事件,需要使用显示信息在远程计算机上保存事件。有关使用显示信息存档事件的详细信息,请参阅存档事件日志

其他参考

目录