Я создал простой тестовый двухстрочный скрипт ps для резервного копирования частей моих журналов событий, и единственное, что я не могу сделать резервную копию, это пересланные события. Есть ли причина для этого? Другие журналы нормально резервируются с тем же скриптом, когда я меняю имя. Я получаю следующую ошибку: You cannot call a method on a null-valued expression. Также, когда я пытаюсь прочитать размер файла и получить его максимальный размер, он также устраивает истерику. Думаю, по какой-то причине вещи не отображаются одинаково, но не уверен, где искать.
$EventLog = Get-WmiObject Win32_NTEventlogFile -Filter "LogFileName = 'ForwardedEvents'"
$EventLog.BackupEventlog("F:\AF\Test.evt")
решение1
После нескольких часов копания в Интернете и в реестре я обнаружил, что пересылаемые события — это скорее канал, и ими можно управлять через класс Get-WinEvent. Думаю, я пойду этим путем, так как я обеспокоен тем, что сломаю то, что и так уязвимо (Windows Event Collector)
Я ценю ваши мысли, но нашел несколько постов, которые были негативными после создания обходного пути, как показано на этом сайте.
Ответ все это время был здесь, на ServerFault:Хороший пример класса WinEvent и резервного копирования