У меня есть бизнес-требование для резервного копирования файлов журнала событий Windows. Когда я использую NT Backup для резервного копирования папки C: \ WINDOWS \ System32 \ config, которая, кажется, содержит файлы журнала событий, они не появляются в каталоге резервного копирования после выполнения задания резервного копирования. Я предполагаю, что файлы заблокированы и используются, но как тогда мне сделать резервную копию журналов событий Windows?
Вам следует изучить возможность использования чего-то вроде Log Parser для архивации журналов в базу данных, а не только для их резервного копирования. Джефф Этвуд (создатель этого сайта) написал в блоге хорошую статью о Log Parser по адресу:
http://www.codinghorror.com/blog/archives/000369.html
Еще один хороший инструмент для этого - Splunk.
Вы можете выполнять полезную работу с архивными журналами базы данных (например, запрашивать, кто вошел в систему, где и когда), тогда как резервные копии журналов на ленте или диске действительно полезны только для отметки некоторых списков дел управления.
Вы можете просто щелкнуть правой кнопкой мыши по журналу и выбрать сохранить все события как... Это экспортирует все в этом журнале в файл. Вы можете повторно импортировать журналы в средство просмотра событий, чтобы посмотреть на них, я думаю, что Splunk и logparser также могут читать файл напрямую.