Пользовательский фильтр для всех журналов событий, которые также применяются к новым журналам

277
MagneTism

Я знаю, что вы можете создавать фильтры по умолчанию для локальных журналов событий. Когда я поддерживаю клиентов, я часто получаю файл .evt, который мне нужно просмотреть. Я начинаю каждый поиск с фильтрации, прокручиваю до нужных мне источников и начинаю искать проблемы.

Я ищу способ создания фильтра по умолчанию, который применяется ко всем журналам событий, даже к внешним файлам .evt, которые вы только что временно открыли. Как я могу это сделать?

1

1 ответ на вопрос

1
Michael Karsyan

Есть несколько обходных путей, которые могут вам помочь

  1. Создайте фильтр по умолчанию для одного файла журнала DEFAULT, а затем, когда вам нужно проверить новый файл журнала, просто переименуйте его в это имя файла DEFAULT.

  2. Если переименование невозможно, создайте текстовый документ, в котором перечислены нужные фильтры в качестве запросов XPath. Это будет ваша библиотека фильтров.
    Например * [System [Provider [@ Name = 'Ошибка приложения' 'или @ Name =' Зависание приложения ']]]
    После открытия журнала перейдите в меню «Фильтр», затем переключитесь на XML, нажмите «Редактировать запрос вручную» и измените запрос XML - замените * на XPath.
    Для сложных фильтров это должно работать быстрее, чем с помощью пользовательского интерфейса

  3. Лучший вариант - попробуйте Event Log Explorer (бесплатно для некоммерческого использования). Это позволяет вам устанавливать предопределенные фильтры для всех сетевых журналов и файлов журналов одновременно.

Не уверен, что понимаю, как будет работать фильтр вида по умолчанию. Я могу создать фильтры для представлений по умолчанию, но изменение имени сохраненного журнала не изменит фильтр даже при создании фильтра по умолчанию. Если бы мне приходилось каждый раз изменять XML-запрос, я мог бы просто использовать раскрывающийся список фильтров и выбирать нужные источники, чтобы не экономить на этом время. Хотя Event Log Explorer был хорошим звонком, спасибо вам за это! Я буду обязательно проверить это :) MagneTism 6 лет назад 0
К сожалению, он не будет работать с представлениями (если вы имеете в виду пользовательские представления). Он будет работать только с файлами журналов (в разделе «Сохраненные журналы»). Таким образом, вы должны иметь фиктивный (по умолчанию) файл журнала с фильтром, а затем переименовать другие файлы в него. В любом случае, не очень хорошее решение. Michael Karsyan 6 лет назад 0

Похожие вопросы