我几乎没有在应用程序频道中记录事件的进程。我想在一段时间内捕获所有事件并将其存储到etl文件中。我们可以使用logman来做到这一点。
答案 0 :(得分:0)
在进一步调查中,我发现使用logman是不可能的。 Logman在提供程序级别上工作,而不是事件日志的容器级别。 我们需要使用wevtutil
wevtutil.exe epl应用程序C:\ temp \ ApplicationLog24hours.evtx “/ q:* [系统[TimeCreated [timediff(@SystemTime)< = 86400000]]]” /流量:真
导出在24小时内创建的Application事件中的所有事件