您可以使用下列程序,手動將事件儲存於事件記錄檔中。此外,某些記錄檔保留原則可能會自動儲存事件。當您儲存事件,可以包括能在其他電腦上檢視儲存事件的顯示資訊,以及能以不同語言檢視儲存事件的資訊。

匯出和封存事件記錄檔
  1. 啟動事件檢視器。

  2. 在主控台樹狀目錄中,瀏覽到您要封存的記錄檔。

  3. [執行] 功能表上,按一下 [另存事件]

  4. [檔名] 中,輸入封存記錄檔的名稱。

  5. [存檔類型] 中選取檔案格式,然後按一下 [儲存]

  6. (選擇性) 如果不希望在其他電腦上可檢視事件記錄檔資訊,請在 [顯示資訊] 對話方塊中,接受預設的 [沒有顯示資訊]

  7. (選擇性) 如果希望能在其他電腦上檢視事件記錄檔資訊,請在 [顯示資訊] 對話方塊中,按一下 [顯示這些語言的資訊]

  8. (選擇性) 如果希望以不同語言檢視事件記錄檔資訊,請選取 [顯示所有可以使用的語言] 核取方塊。

  9. (選擇性) 請選取您要包括其語言資訊的語言核取方塊。

  10. 按一下 [確定]

使用命令列匯出和封存事件記錄檔
  1. 若要開啟命令提示字元,請按一下 [開始],在 [開始搜尋] 方塊中輸入 cmd,然後按 Enter 鍵。

  2. 若要將記錄檔匯出至檔案,請輸入下列命令:

    wevtutil epl <LogName> <FileName.evtx>
  3. 若要封存記錄檔與顯示資訊,請輸入下列命令:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

若要檢視含 epl 選項之 wevutil 命令的完整語法,請於命令提示字元中輸入以下內容:

wevtutil epl /?

若要檢視含 epl 選項之 wevutil 命令的完整語法,請於命令提示字元中輸入以下內容:

wevtutil al /?

其他考量

  • 如果您是以 .evtx 檔案格式封存記錄檔,則可在事件檢視器中重新開啟它。

  • 封存作業不會刪除記錄檔的內容。

  • 儲存記錄檔時不會保留排列順序。

  • 如果您封存篩選過的記錄檔,則只會儲存符合篩選器的記錄。

  • 若要疑難排解遠端電腦上登入的事件,您必須一併匯出和封存記錄檔與顯示資訊。儲存事件的顯示資訊會儲存在 LocaleMetaData 資料夾中,而且在其他電腦上檢視資訊時,必須與日誌資訊一起移動。

其他資源