Автоматическое резервное копирование / экспорт пользовательского представления из средства просмотра событий
Как я могу просто экспортировать или создать резервную копию пользовательского представления из средства просмотра событий? я делаю не хочу экспортировать обычные журналы событий, такие как: система, приложение, безопасность и т. д. Но я хочу автоматически экспортировать весь свой собственный журнал просмотра с идентификаторами событий.
Откройте свойства Custom View, выберите Edit Filter, затем перейдите на вкладку XML и скопируйте фильтр.
Теперь вы можете использовать фильтр с PowerShell, например:
[xml]$CustomView = @"
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=2 or Level=3) and ( (EventID >= 1000 and EventID <= 2000) )]]</Select>
</Query>
</QueryList>
"@
Get-WinEvent -FilterXML $CustomView | Export-CSV "C:\LogFiles\CustomView_$(Get-Date -format "yyyy-MM-DD").log"
Настройте запланированную задачу для запуска сценария, подобного указанному выше, каждую неделю.