イベントログのバックアップを取ることにより、後で見ることが出来たり違うマシンで表示したり出来ます。
では、実際のやり方です。
まず、「System」ログに次のようにエントリが記録されているとします。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | PS C:\work> Get-EventLog -LogName "System" Index Time EntryType Source InstanceID Message ----- ---- --------- ------ ---------- ------- 7022 1 07 18:34 Warning Microsoft-Windows... 1014 名前 rtd.tubemogul.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。 7021 1 07 12:00 Information EventLog 2147489661 システムの稼働時間は 195648 秒です。 7020 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211000000Z... 7019 1 07 10:55 Information Microsoft-Windows... 35 システム時刻とタイム ソース time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) の同期をとっています。 7018 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211939300Z... 7017 1 07 09:54 Information Service Control M... 1073748864 Windows Time サービスの開始の種類は 要求による開始 から 自動的な開始 に変更されました。 7016 1 07 09:53 Information Microsoft-Windows... 37 タイム プロバイダー NtpClient は現在 time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) から有効な時間データを受信しています。 7015 1 07 09:53 Information Microsoft-Windows... 158 タイム プロバイダー 'VMICTimeProvider' は、現在のハードウェアおよび操作環境がサポートされないことを示して停止しました。非 HyperV ゲスト環境の VMICTimeProvider では、これは予期された動... 7014 1 07 09:53 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T00:53:53.976000000Z... 7013 1 07 01:43 Error DCOM 10016 ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります... 7012 1 07 01:43 Information Microsoft-Windows... 7001 カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知・・・ |
これを次にようにしてファイルに出力します。
1 | PS C:\work> Get-EventLog -LogName "System" | Export-Clixml C:\tmp\SystemLogBackup.clixml |
次に、出力されたファイルを読み込んでみたいと思います。
Import-Clixmlコマンドレットで先ほど出力したファイルをインポートします。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | PS C:\work> $logs = Import-Clixml C:\tmp\SystemLogBackup.clixmlPS C:\work> $logs Index Time EntryType Source InstanceID Message ----- ---- --------- ------ ---------- ------- 7022 1 07 18:34 Warning Microsoft-Windows... 1014 名前 rtd.tubemogul.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。 7021 1 07 12:00 Information EventLog 2147489661 システムの稼働時間は 195648 秒です。 7020 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211000000Z... 7019 1 07 10:55 Information Microsoft-Windows... 35 システム時刻とタイム ソース time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) の同期をとっています。 7018 1 07 10:55 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T01:55:08.211939300Z... 7017 1 07 09:54 Information Service Control M... 1073748864 Windows Time サービスの開始の種類は 要求による開始 から 自動的な開始 に変更されました。 7016 1 07 09:53 Information Microsoft-Windows... 37 タイム プロバイダー NtpClient は現在 time.windows.com,0x9 (ntp.m|0x9|0.0.0.0:123->52.169.179.91:123) から有効な時間データを受信しています。 7015 1 07 09:53 Information Microsoft-Windows... 158 タイム プロバイダー 'VMICTimeProvider' は、現在のハードウェアおよび操作環境がサポートされないことを示して停止しました。非 HyperV ゲスト環境の VMICTimeProvider では、これは予期された動... 7014 1 07 09:53 Information Microsoft-Windows... 1 CVE の検出の可能性: 2017-01-07T00:53:53.976000000Z... 7013 1 07 01:43 Error DCOM 10016 ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります... 7012 1 07 01:43 Information Microsoft-Windows... 7001 カスタマー エクスペリエンス向上プログラムのユーザー ログオン通知・・・ |
最初にGet-EventLogで表示した内容と全く同じということが確認できると思います。
スポンサーリンク
