ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

イベントビューアー フィルターしたログを保存で情報が欠落する対策のコマンド

イベントビューアー フィルターしたログを保存で情報が欠落することがあるそうです。これは知りませんでしたというか、知らずに使っていると大事な情報が欠落している可能性もあるので注意が必要です。

 

よくフィルターしてログを保存していたので、知らずに欠落していた可能性もありますが。

 

情報元はこちら

イベントビューアーで、フィルターしたログを保存すると、情報が欠落することがある。 | Microsoft Docs 

 

事象

イベント ビューアー内、右ペインの "現在のログをフィルター" にてフィルターし、"全てのイベントを名前をつけて保存" メニューで
.evtx 形式以外の拡張子でイベントを保存すると、一部情報が欠落することがございます。

 

原因

本事象は、イベント ログ データを取得するためのスレッドと、フィルターしたテキストを書き出すスレッドが競合することにより発生する事象となり、イベントの種類に関係なく、事象が発生する可能性がございます。

 

 

回避策

イベント ビューアーにて、フィルターしたイベントを保存する場合には、.evtx 形式の拡張子で保存いただくか、イベント ビューアーを使用せず、コマンドを使用してテキストに出力することで、事象を回避することができます。

 

■Get-WinEvent コマンドを使用して、日時を指定した場合のコマンド例

 

▼ 特定の期間のイベントを .csv 形式でエクスポートする
- コマンド
Get-WinEvent -Filterhashtable @{Logname='イベント名';Starttime='yy/mm/dd hh:mm:ss;Endtime='yyyy/mm/dd hh:mm:ss'} | export-csv -encoding default -path

- 記述例
Get-WinEvent -Filterhashtable @{Logname='System';Starttime='2018/09/01 10:00:00';Endtime='2018/11/01 01:00:00'}| export-csv -encoding default -path C:\Export.csv

 

▼ 特定の期間のイベントを .txt 形式でエクスポートする
- コマンド
Get-WinEvent -Filterhashtable @{Logname='イベント名';Starttime='yy/mm/dd hh:mm:ss;Endtime='yyyy/mm/dd hh:mm:ss'} | Out-File

- 記述例
Get-WinEvent -Filterhashtable @{Logname='System';Starttime='2018/09/01 10:00:00';Endtime='2018/11/01 01:00:00'} | Out-File c:\test.txt

 

おそらく最新のOSにアップデートしている場合は修正されていると思われます。コマンドの出力方法自体は運用などで参考になるかもしれないですね。