Windows获取日志非常方便,直接去这个目录拿就行了:C:\Windows\System32\winevt\Logs,按大小倒叙排列,一般看这3个
把这3个日志从原位置复制到别的地方,压缩下发给技术支持分析。
个人建议用下面导出日志的办法,cmd命令行执行wevtutil epl命令就行,epl是export-log的缩写,wevtutil epl和wevtutil export-log都行,例如
以日期命名,格式须指定.evtx,分别导出安全日志、系统日志、应用日志
wevtutil epl Security C:\Security0420.evtx
wevtutil epl System C:\System0420.evtx
wevtutil epl Application C:\Application0420.evtx
上面命令里的epl其实是export-log的缩写,例如
wevtutil export-log Security C:\Security0421.evtx
wevtutil export-log System C:\System0421.evtx
wevtutil export-log Application C:\Application0421.evtx
导出后压缩一下,大概95%的压缩率,21M压缩完只有1M,压缩后传输很方便
