イベントログのバックアップを取ることにより、後で見ることが出来たり違うマシンで表示したり出来ます。
では、実際のやり方です。
まず、「System」ログに次のようにエントリが記録されているとします。
PS C:\work> Get-EventLog -LogName "System"
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
7022 1 07 18:34 Warning Microsoft-Windows... 1014 名前 rtd.tubemogul.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。
7021 1 07 12:00 Information EventLog 2147489661 システムの稼働時間は 195648 秒です。
7020 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211000000Z...
7019 1 07 10:55 Information Microsoft-Windows... 35 システム時刻とタイム ソース time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) の同期をとっています。
7018 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211939300Z...
7017 1 07 09:54 Information Service Control M... 1073748864 Windows Time サービスの開始の種類は 要求による開始 から 自動的な開始 に変更されました。
7016 1 07 09:53 Information Microsoft-Windows... 37 タイム プロバイダー NtpClient は現在 time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) から有効な時間データを受信しています。
7015 1 07 09:53 Information Microsoft-Windows... 158 タイム プロバイダー 'VMICTimeProvider' は、現在のハードウェアおよび操作環境がサポートされないことを示して停止しました。非 HyperV ゲスト環境の VMICTimeProvider では、これは予期された動...
7014 1 07 09:53 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T00:53:53.976000000Z...
7013 1 07 01:43 Error DCOM 10016 ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります...
7012 1 07 01:43 Information Microsoft-Windows... 7001 カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知
・・・
これを次にようにしてファイルに出力します。
PS C:\work> Get-EventLog -LogName "System" | Export-Clixml C:\tmp\SystemLogBackup.clixmlこの例では、「System」ログをパイプラインでExport-Clixmlコマンドレットに渡し、エントリをC:\tmp\SystemLogBackup.clixmlファイルに格納しています。
次に、出力されたファイルを読み込んでみたいと思います。
Import-Clixmlコマンドレットで先ほど出力したファイルをインポートします。
PS C:\work> $logs = Import-Clixml C:\tmp\SystemLogBackup.clixml
PS C:\work> $logs
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
7022 1 07 18:34 Warning Microsoft-Windows... 1014 名前 rtd.tubemogul.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。
7021 1 07 12:00 Information EventLog 2147489661 システムの稼働時間は 195648 秒です。
7020 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211000000Z...
7019 1 07 10:55 Information Microsoft-Windows... 35 システム時刻とタイム ソース time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) の同期をとっています。
7018 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211939300Z...
7017 1 07 09:54 Information Service Control M... 1073748864 Windows Time サービスの開始の種類は 要求による開始 から 自動的な開始 に変更されました。
7016 1 07 09:53 Information Microsoft-Windows... 37 タイム プロバイダー NtpClient は現在 time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) から有効な時間データを受信しています。
7015 1 07 09:53 Information Microsoft-Windows... 158 タイム プロバイダー 'VMICTimeProvider' は、現在のハードウェアおよび操作環境がサポートされないことを示して停止しました。非 HyperV ゲスト環境の VMICTimeProvider では、これは予期された動...
7014 1 07 09:53 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T00:53:53.976000000Z...
7013 1 07 01:43 Error DCOM 10016 ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります...
7012 1 07 01:43 Information Microsoft-Windows... 7001 カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知
・・・
インポートした変数$logsの内容を表示しています。最初にGet-EventLogで表示した内容と全く同じということが確認できると思います。
スポンサーリンク