Benutzerdefinierter Filter für alle Ereignisprotokolle, die auch für neue Protokolle gelten

511
MagneTism

Ich weiß, dass Sie Standardfilter für Ihre lokalen Ereignisprotokolle erstellen können. Wenn ich Kunden unterstütze, erhalte ich häufig eine .evt-Datei, die ich durchsehen muss. Ich beginne jede Suche, indem ich filtern, zu meinen gewünschten Quellen scrollen und dann nach Problemen suche.

Ich suche nach einer Möglichkeit, einen Standardfilter zu erstellen, der für alle Ereignisprotokolle gilt, auch für externe EVT-Dateien, die Sie nur vorübergehend öffnen. Wie kann ich das machen?

1

1 Antwort auf die Frage

1
Michael Karsyan

Es gibt mehrere Problemumgehungen, die Ihnen helfen können

  1. Erstellen Sie Ihren Standardfilter für eine DEFAULT-Protokolldatei. Wenn Sie Ihre neue Protokolldatei überprüfen müssen, benennen Sie sie einfach in diesen DEFAULT-Dateinamen um.

  2. Wenn eine Umbenennung nicht möglich ist, erstellen Sie ein Textdokument, in dem die gewünschten Filter als XPath-Abfragen aufgeführt sind. Es wird Ihre Filterbibliothek sein.
    ZB * [System [Provider [@ Name = 'Application Error'] oder @ Name = 'Application Hang']]]]
    Nach dem Öffnen des Protokolls gehen Sie zu Filter, wechseln Sie zu XML, klicken Sie auf Abfrage manuell bearbeiten und ändern Sie die XML-Abfrage - ersetzen Sie * durch der XPath.
    Bei komplexen Filtern sollte es schneller arbeiten als mit der Benutzeroberfläche

  3. Eine bessere Option - probieren Sie den Event Log Explorer (kostenlos für nicht kommerzielle Zwecke). Sie können vordefinierte Filter für alle Online-Protokolle und Protokolldateien gleichzeitig festlegen.

Ich bin nicht sicher, ob ich verstehe, wie der Standardansichtsfilter funktionieren würde. Ich kann Filter für die Standardansichten erstellen, aber das Ändern des Namens eines gespeicherten Protokolls ändert den Filter nicht, selbst wenn der Standardfilter erstellt wurde. Wenn ich die XML-Abfrage jedes Mal ändern muss, wenn ich einfach die Filter-Dropdown-Liste verwenden und die gewünschten Quellen auswählen kann, damit ich keine Zeit dafür brauche. Der Event Log Explorer war ein guter Anruf, vielen Dank dafür! Ich werde sicher sein, es auszuprobieren :) MagneTism vor 6 Jahren 0
Leider funktioniert es nicht mit den Ansichten (wenn Sie benutzerdefinierte Ansichten meinen). Es funktioniert nur mit den Protokolldateien (unter Gespeicherte Protokolle). Sie sollten also eine Dummy-Protokolldatei (Standard) mit einem Filter haben und dann andere Dateien in diese umbenennen. Ohnehin keine sehr gute Lösung. Michael Karsyan vor 6 Jahren 0

Verwandte Probleme