С помощью следующей процедуры можно вручную сохранить события, зарегистрированные в журнале событий. Кроме того, некоторые политики сохранения могут сохранять события автоматически. При сохранении событий можно добавить сведения, позволяющие просматривать сохраненные события на других компьютерах и на других языках.

Чтобы экспортировать и сохранить журнал событий

  1. Откройте оснастку «Просмотр событий».

  2. В дереве консоли выберите журнал, который требуется сохранить в файле.

  3. В меню Действие выберите команду Сохранить события как.

  4. В поле Имя файла введите имя файла, в котором будет сохранен журнал.

  5. Выберите формат файла из списка Тип файла и нажмите кнопку Сохранить.

  6. (Необязательно) Если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения примите заданный по умолчанию вариант Не отображать сведения.

  7. (Необязательно) Если журнал событий предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения выберите вариант Отображать сведения для следующих языков.

  8. (Необязательно) Если журнал событий предназначен для просмотра на другом языке, установите флажок Показать все доступные языки.

  9. (Необязательно) Установите флажки языков, для которых требуется добавить отображаемые сведения.

  10. Нажмите кнопку ОК.

Чтобы экспортировать и сохранить журнал событий с помощью командной строки

  1. Чтобы открыть окно командной строки, нажмите кнопку Пуск, введите cmd в поле Начать поиск и нажмите клавишу ВВОД.

  2. Чтобы экспортировать журнал в файл, введите следующую команду:

    wevtutil epl <LogName> <FileName.evtx>

  3. Чтобы сохранить журнал с отображением сведений, введите следующую команду:

    wevtutil al <FileName.evtx> [/l:<LocaleString>]

Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:

wevtutil epl /?

Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:

wevtutil al /?

Дополнительные сведения

  • Файл журнала, сохраненный в формате EVTX, может быть открыт в оснастке «Просмотр событий».

  • Сохранение журнала событий в файле не приводит к удалению содержимого журнала.

  • Порядок сортировки при сохранении журнала не сохраняется.

  • Если в журнале используется фильтр, в файле будут сохранены только записи, удовлетворяющие условиям фильтра.

  • Для устранения неполадок, зарегистрированных в журнале событий на удаленном компьютере, необходимо экспортировать и сохранить журнал с отображением сведений. Отображаемые сведения для сохраненных событий хранятся в папке LocaleMetaData и при просмотре журнала на другом компьютере должны быть перемещены вместе со сведениями журнала.

Дополнительные ресурсы

  • Активация аналитического и отладочного журналов
  • Открытие и закрытие сохраненного журнала