操作系统是Windows Server 21H2。
我已在 Windows 事件查看器中启用文件夹和文件访问审核。我按 5663 事件进行过滤。我可以看到事件。
但是,例如,如果我在 11:00 有一个事件,并且我使用 F5 刷新事件查看器,则我将无法再看到该事件。事实上,如果我刷新事件,我显示的事件很多时候都是不同的。
我在事件查看器的安全属性中配置了文件大小为 20MB,我想它足够大,至少可以存储最后一小时的日志,但实际上我丢失了很多事件,或者至少我不知道如何丢失去看他们。
那么,我怎样才能看到今天和过去几天发生的所有事件呢?
您可以使用
FullEventLogViewNir Sofer。它是免费软件,可在此处获取:
https://www.nirsoft.net/utils/full_event_log_view.html
FullEventLogView将允许您查看今天和过去几天的所有事件。您可以自定义软件的列以准确显示您想要的详细信息。唯一的例外是删除系统的事件日志。如果您这样做,您当然只能看到自执行删除的日期和时间以来的事件。
要查看仅具有管理员权限的事件,请
FullEventLogView以管理员身份运行。否则,您可以在没有提升的情况下运行它,它将按预期工作。更新:
您提到您担心在服务器上运行第三方应用程序。这非常聪明。幸运的是,您不需要
FullEventLogView在服务器上运行。您可以
FullEventLogView在联网的计算机上运行,并远程访问服务器的事件日志。为此,请转至File菜单并选择Choose data source。然后选择从远程计算机加载事件的选项。为了更加安全,您可以简单地将服务器的事件日志文件复制到非联网计算机上并
FullEventLogView在该非联网计算机上运行。再次转到File菜单并选择Choose data source。但这一次,指定事件日志文件的副本。