イベント ログの一部をバックアップするための簡単な 2 行の ps スクリプトを作成しましたが、転送されたイベントだけがバックアップできません。これには理由があるのでしょうか。名前を変更すると、他のログは同じスクリプトで正常にバックアップされます。次のエラーが発生します。You cannot call a method on a null-valued expressionまた、ファイルのサイズを読み取って最大値を取得しようとすると、問題が発生します。何らかの理由でマッピングが同じように行われていないのではないかと考えていますが、どこを調べればよいかわかりません。
$EventLog = Get-WmiObject Win32_NTEventlogFile -Filter "LogFileName = 'ForwardedEvents'"
$EventLog.BackupEventlog("F:\AF\Test.evt")
答え1
ウェブとレジストリを数時間調べた結果、転送されたイベントはチャネルのようなもので、Get-WinEvent クラスで管理できることがわかりました。すでに扱いにくいもの(Windows イベント コレクター)を壊してしまうのではないかと心配なので、この方法を採用しようと思います。
あなたのご意見に感謝しますが、そのサイトが示したように回避策を作成した後、否定的な投稿がいくつか見つかりました。
答えはずっと ServerFault にありました:WinEvent クラスとバックアップの良い例