Пользовательский фильтр для всех журналов событий, которые также применяются к новым журналам

Question

Пользовательский фильтр для всех журналов событий, которые также применяются к новым журналам

Я знаю, что вы можете создавать фильтры по умолчанию для локальных журналов событий. Когда я поддерживаю клиентов, я часто получаю файл.evt, который мне нужно просмотреть. Я начинаю каждый поиск, переходя к фильтру, прокручивая до нужных мне источников, а затем начинаю искать проблемы.

Я ищу способ создания фильтра по умолчанию, который применяется ко всем журналам событий, даже к внешним файлам.evt, которые вы только что временно открыли. Как я могу это сделать?

1

windows windows-10 event-log event-viewer

Источник

MagneTism 18 мар '18 в 03:01

1 ответ

Другие вопросы по тегам windows windows-10 event-log event-viewer

Michael Karsyan 18 мар '18 в 17:38 2018-03-18 17:38 · Answer 1 · 2018-03-18 17:38

Есть несколько обходных путей, которые могут вам помочь

Создайте фильтр по умолчанию для одного файла журнала DEFAULT, а затем, когда вам нужно проверить новый файл журнала, просто переименуйте его в это имя файла DEFAULT.
Если переименование невозможно, создайте текстовый документ, в котором перечислены нужные фильтры в качестве запросов XPath. Это будет ваша библиотека фильтров.
Например *[System[Provider[@Name='Ошибка приложения' 'или @ Name =' Зависание приложения ']]]
После открытия журнала перейдите в меню "Фильтр", затем переключитесь на XML, нажмите "Изменить запрос вручную" и измените запрос XML - замените * на XPath.
Для сложных фильтров это должно работать быстрее, чем с помощью пользовательского интерфейса
Лучший вариант - попробуйте Event Log Explorer (бесплатно для некоммерческого использования). Это позволяет вам устанавливать предопределенные фильтры для всех сетевых журналов и файлов журналов одновременно.