He creado un script ps de prueba simple de dos líneas para hacer una copia de seguridad de partes de mis registros de eventos y el único del que no puedo hacer una copia de seguridad son los eventos reenviados, ¿hay alguna razón para esto? Los otros registros vuelven a funcionar correctamente con el mismo script cuando cambio el nombre. El error que recibo es: You cannot call a method on a null-valued expression. Además, cuando intento leer el tamaño del archivo y obtener su máximo, también falla. Pienso que, por alguna razón, las cosas no están mapeadas de la misma manera, pero no estoy seguro de dónde buscar.
$EventLog = Get-WmiObject Win32_NTEventlogFile -Filter "LogFileName = 'ForwardedEvents'"
$EventLog.BackupEventlog("F:\AF\Test.evt")
Respuesta1
Después de varias horas de investigar en la web y en el registro, descubrí que los eventos reenviados son más un canal y se pueden administrar a través de la clase Get-WinEvent. Creo que seguiré este camino porque me preocupa romper lo que ya es delicado (Windows Event Collector)
Aprecio tus pensamientos, pero encontré algunas publicaciones que eran negativas después de crear una solución alternativa, como lo demostró ese sitio.
La respuesta estuvo aquí en ServerFault todo el tiempo:Buen ejemplo de clase WinEvent y copias de seguridad.