Windows 事件記錄檔
Windows 事件記錄檔 筆記錄 Windows 事件記錄檔訊息。Windows 事件記錄檔訊息,包含應用程式、安全性、設定、系統及轉送的事件。
每一個記錄檔的訊息紀錄都包含以下資料欄:
- :事件訊息的日期和時間。
- :事件訊息通知的來源。
- :已接收 WinEvent 訊息的類型。
- :記錄檔訊息字串。
: 必須啟用 Windows 事件記錄檔偵聽程式,將項目加入此報表,且必須將 Windows 事件記錄檔被動監控工具加入裝置中。若需要 Windows 事件記錄檔偵聽程式的詳細資訊,請參閱〈啟用 Windows 事件記錄檔偵聽程式〉。
擷取及過濾記錄檔資料
: 選擇一或多部主機裝置。
使用下列其中一項的 [選取裝置] 對話方塊:
控制項
|
目的
|
裝置
|
瀏覽及選擇單一裝置。
|
裝置群組
|
選擇一或多部裝置的現有群組。您同時可建立自訂或動態群組。
|
: 您可將裝置組織為自訂或動態群組。若需要詳細資訊,請參閱群組裝置。
: 選擇特定視窗來查看記錄檔資料,或選擇 來查看最新資料。
選擇資料畫面的時間限制。
控制項
|
目的
|
日期範圍
|
選擇或定義整體日期範圍。
|
上班時間
|
- 選定每週的特定幾天或每天的特定期間。
- 顯示受上班時間、時區以及觀察資料中其他週期屬性影響的趨勢。
|
: 根據特定資料欄值將選取資料列,以及移除表格中的無用資料。
過濾表格資料列及隱藏和選取資料欄
按一下資料欄標題 並使用下拉式清單中的以下項目:
控制項
|
目的
|
排序:
|
以遞增或遞減順序排序資料欄。
|
資料欄:
|
選取您想要檢視的資料欄。按一下核取方塊,可顯示資料欄。取消核取方塊,可將其隱藏。
|
依此欄位分組:
|
僅要目前之資料欄包含相同資料(「欄位」)值,即會將表格分組至可收合的資料列。
|
過濾條件:
|
提供關鍵字,並使用萬用字元,僅在選擇之資料欄或畫面中檢視包含關鍵字的資料列。
大多數的資料欄和記錄檔檢視過濾條件,都會提供以下萬用字元比對:
- 比對零字元或任何一個字元(「?」)。
範例:198.51.100.2? (比對權杖與末尾為 2 或 20-29 的 IP 位址。) - 比對零、任何一個或多個字元(「*」」)。
範例:Stop* (比對含有 Stop、Stopped、Stopping 等的記錄檔字串。)
|
寄送電子郵件、匯出及儲存為 PDF
Windows 事件記錄檔 事件資料可以匯出、重複使用及散發。選取 [匯出]()來存取以下的選項: