Как мне регулярно выполнять резервное копирование журнала приложений Windows?

Question

Я работаю с приложением, которое регулярно регистрируется в журнале приложений Windows (доступно для просмотра с помощью инструмента администрирования средства просмотра событий), и я ищу способ ежедневного резервного копирования. Это важно, потому что мы иногда обнаруживаем проблему с приложением - и для дальнейшего исследования нам нужна информация, которая была зарегистрирована неделю назад. События, которые мы ищем, не обязательно все еще существуют ... Я пытался увеличить размер и все такое, но я думаю, что автоматическое резервное копирование облегчит процесс. В итоге мы получим не огромные журналы, а несколько журналов среднего размера.

Я бы предпочел бы простое решение, такое как командный файл + планировщик Windows, но также заинтересовался бы другими подходами.

Спасибо

Answer 1

Вот скрипт WMI, который я нашел некоторое время назад. Это может быть то, что вы ищете!

dim strComputer = "." 'Define here the Remote IP Address or Computername
dim objWMIService
dim colLogFiles
dim objLogfile
dim errBackupLog

Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate,(Backup)}!\\" &  strComputer & "\root\cimv2")

Call eventlogbackup("Application")
Call eventlogbackup("System")
Call eventlogbackup("Security")

Function eventlogbackup(logtype)

Set colLogFiles = objWMIService.ExecQuery ("SELECT * FROM Win32_NTEventLogFile WHERE LogFileName='" & logtype & "'")

For Each objLogfile in colLogFiles
 errBackupLog = objLogFile.BackupEventLog("\\server\eventlogs\" & strComputer & "\" &logtype & ".evt")
 If errBackupLog <> 0 Then
    Wscript.Echo "The " & logtype &" event log could not be backed up."
 Else
    objLogFile.ClearEventLog()
    Wscript.Echo "The " & logtype &" event log is backed up."
 End If
Next

End Function

Просто настройте этот скрипт в запланированном задании, и все готово!

Answer 2

Вывести все события в канале приложения в XML:

wevtutil.exe qe application

Для вывода удобочитаемого текста используйте:

wevtutil.exe qe application /f:text

Вы можете легко направить любой из этих выходов в файл периодически для резервного копирования.

Answer 3

Вы можете использовать инструментарий управления Windows (WMI), чтобы читать журнал событий и делать с результатом все, что угодно. Вот статья , которую вы можете настроить для своих целей.

Answer 4

Возможно, вы захотите настроить один из инструментов для пересылки событий Windows на сервер системного журнала. Тогда вместо того, чтобы запускать процесс, который выполняет резервное копирование, вы получите все записи журнала, перенаправленные во второе место, почти одновременно с добавлением их в журнал событий Windows.

http://ntsyslog.sourceforge.net/ http://edoceo.com/creo/winlogd http://www.softpanorama.org/Logs/Syslog/syslog_for_windows.shtml

В зависимости от того, какой сервер системного журнала вы используете, вы можете настроить фильтры, чтобы игнорировать некоторые события или отправлять их в разные файлы. Вы можете настроить журналирование по своему усмотрению.