Filtr niestandardowy dla wszystkich dzienników zdarzeń, które dotyczą również nowych dzienników

1

Wiem, że możesz tworzyć domyślne filtry dla lokalnych dzienników zdarzeń. Kiedy wspieram klientów, często otrzymuję plik .evt, który muszę przejrzeć. Każde wyszukiwanie zaczynam od filtrowania, przewijania do żądanych źródeł, a następnie zaczynam szukać problemów.

Szukam sposobu, aby utworzyć domyślny filtr, który będzie stosowany do wszystkich dzienników zdarzeń, nawet zewnętrznych plików .evt, które właśnie otworzysz tymczasowo. Jak mogę to zrobić?

Magnetyzm
źródło

Odpowiedzi:

1

Istnieje kilka obejść, które mogą ci pomóc

  1. Utwórz domyślny filtr dla jednego pliku dziennika DOMYŚLNEGO, a następnie, gdy musisz sprawdzić nowy plik dziennika, po prostu zmień jego nazwę na nazwę pliku DOMYŚLNEGO.

  2. Jeśli zmiana nazwy nie jest możliwa, utwórz dokument tekstowy, w którym wyszczególniono żądane filtry jako zapytania XPath. To będzie twoja biblioteka filtrów.
    Np. * [System [Dostawca [@ Nazwa = „Błąd aplikacji” lub @ Nazwa = „Zawieszenie aplikacji”]]]
    Po otwarciu dziennika przejdź do Filtruj, następnie przełącz na XML, kliknij Edytuj ręcznie zapytanie i zmodyfikuj zapytanie XML - zamień * na XPath.
    W przypadku złożonych filtrów powinien działać szybciej niż przy użyciu interfejsu użytkownika

  3. Lepsza opcja - wypróbuj Event Log Explorer (darmowy do użytku niekomercyjnego). Pozwala ustawić jednocześnie predefiniowane filtry dla wszystkich dzienników online i plików dzienników.

Michael Karsyan
źródło
Nie jestem pewien, czy rozumiem, jak działałby domyślny filtr widoku. Mogę tworzyć filtry dla domyślnych widoków, ale zmiana nazwy zapisanego dziennika nie zmienia filtra nawet po utworzeniu domyślnego filtra. Jeśli będę musiał modyfikować zapytanie XML za każdym razem, mógłbym po prostu użyć rozwijanego filtra i wybrać źródła, które chcę, aby nie oszczędzać na tym czasu. Eksplorator dziennika zdarzeń był jednak dobry, dziękuję za to! Na pewno to sprawdzę :)
MagneTism
Niestety nie będzie działać z widokami (jeśli masz na myśli widoki niestandardowe). Będzie działać tylko z plikami dzienników (w Zapisanych dziennikach). Dlatego powinieneś mieć fikcyjny (domyślny) plik dziennika z filtrem, a następnie zmienić na niego nazwy innych plików. Zresztą niezbyt dobre rozwiązanie.
Michael Karsyan