我創建了一個簡單的測試兩行 ps 腳本來備份部分事件日誌,唯一無法備份的是轉發的事件,這有原因嗎?當我更改名稱時,其他日誌可以使用相同的腳本正常備份。我收到的錯誤是:You cannot call a method on a null-valued expression。另外,當我嘗試讀取文件的大小並獲取其最大值時,它也會出現異常。由於某種原因,我認為事情的映射不一樣,但不知道該去哪裡尋找。
$EventLog = Get-WmiObject Win32_NTEventlogFile -Filter "LogFileName = 'ForwardedEvents'"
$EventLog.BackupEventlog("F:\AF\Test.evt")
答案1
經過幾個小時在網路和登錄中的挖掘,我發現轉送事件更多的是一個通道,可以透過 Get-WinEvent 類別進行管理。我想我會走這條路,因為我擔心破壞已經敏感的東西(Windows 事件收集器)
感謝您的想法,但在創建了該網站演示的解決方法後發現了一些負面的帖子。
答案一直都在 ServerFault 上:WinEvent 類別和備份的好例子