FullEventLogView

FullEventLogView简介

FullEventLogView是为Windows开发的事件日志和日志管理工具。该工具可以在不同版本的win系统中运行，并且可以在表格中显示Windows事件日志中所有事件的详细信息，包括事件描述。它使用户能够查看本地计算机的事件、网络上远程计算机的事件以及存储在中的事件。evtx文件；它还允许您将事件列表从图形用户界面和命令行导出到文本/CSV/制表符分隔/html/XML文件；在新版本中，在文件菜单下添加了一个新的FullEventLogView实例，以打开程序的新窗口，并添加了一个日志文件列。如果事件直接从。evtx或。etl文件，将显示日志文件名。现在，在高级选项窗口的频道和提供商字段中，您可以从组合框中选择所需的频道/提供商！

FullEventLogView新版功能

现在，当阅读。将事件数据存储在XML的EventPayload元素中的etl文件

FullEventLogView将自动将EventPayload从十六进制字符串转换为可读文本，并将其显示为事件摘要。

例如，您可以使用此功能从C: Windows log Windows 10上的Windows Update查看Windows Update日志。

在右键上下文菜单中添加了复制单击单元格的选项。

此选项将您右键单击的单元格的文本复制到剪贴板。

在“列设置”窗口中添加了全选和取消全选。

在上下文菜单中添加了“清除所选频道的所有事件”选项。

增加描述过滤器字符串的最大大小。

添加了选项“清除所选频道的所有事件”(在文件菜单下)

例如，如果您选择“系统”作为事件的通道，使用此选项将删除所有系统事件。

增加了/ClearChannelEvents命令行选项，可以清除指定通道的所有事件，例如:

FullEventLogView。exe/RunAsAdmin/ClearChannelEventsMicsoft-Windows-Bits-Client/operating

描述过滤器增加了两种模式:“在描述参数中搜索”和“在完整描述字符串中搜索”。

在以前的版本中，搜索是在描述参数中进行的，但有些人报告说这是一个错误。

现在，默认情况下，搜索在完整的描述字符串中执行。

但是，这种搜索模式很慢，因为它需要在过滤过程之前加载元数据并格式化描述字符串。

在“快速筛选”窗口中添加了区分大小写选项。

添加了/RunAsAdmin命令行选项，以管理员身份运行FullEventLogView。

快速过滤功能增加了新选项，包括按事件标识过滤列表的选项。

当您选择仅加载特定的事件标识时(从“高级选项”窗口)，加载过程会快得多。

现在，您可以通过指定一个空字符串作为文件名来将数据发送到stdout，例如:

FullEventLogView。exe/smama ""|更多

添加了选择另一种字体(名称和大小)在主窗口显示的选项。

将具有多行描述的项目导出到制表符分隔的文件(包括“复制选定项目”选项)时

FullEventLogView现在将描述放在引号中，以确保导出的数据将在Excel和其他程序中正确显示。

增加了对保存为打开文件的支持。

添加了选项“在列中显示事件字符串”(在“选项”菜单下)。

启用后，10个新的事件字符串列将被添加到主表中(字符串1，字符串2，字符串3 & # 8230；)

这些列显示事件描述中的字符串，您可以单击列标题根据事件字符串对事件进行排序。

添加了/cfg命令行选项，该选项指示FullEventLogView使用配置文件而不是默认配置文件中的其他位置，例如:

FullEventLogView。exe / cfg"%AppData% FullEventLogView。cfg "

添加了根据事件描述字符串进行过滤的选项(在高级选项窗口中)。

增加了“快速过滤”功能(参见->:使用快速过滤或Ctrl+Q)。

启用后，您可以在工具栏下添加的文本框中键入字符串。

FullEventLogView软件特色

MyEventViewer是一个非常古老的工具，最初是为Windows XP/2000/2003开发的。

从Windows Vista开始，Micsoft用新的编程接口创建了一个新的事件日志系统。

即使在Windows 10上，仍然可以使用旧的编程界面。

但是，它无法访问在Windows Vista和更高版本系统上添加的新事件日志。

MyEventViewer使用的是旧的编程界面，所以无法显示Windows 10/8/7/Vista上添加的很多事件日志。

FullEventLogView使用了一个新的编程接口，所以所有的事件都会显示出来。

FullEventLogView将立即过滤事件表，只显示包含您键入的字符串的行。

增加了在t(高级选项窗口)中指定时间范围的选项。

添加了自动读取归档日志文件的选项(在“选择数据源”窗口中)。

此选项仅在您以管理员身份运行FullEventLogView时有效。

如果FullEventLogView无法从外部evtx文件或远程计算机加载事件，现在会显示一条错误消息。

“选择数据源”图标已添加到工具栏中。

FullEventLogView使用教程

开始使用FullEventLogView

FullEventLogView不需要安装过程或其他DLL文件。要开始使用它，只需运行可执行文件-FullEventLogView.exe。

。运行FullEventLogView后，主窗口将加载并显示最近7天的所有事件。您可以使用“高级选项”窗口(F9)更改默认的7天时间过滤器并设置其他过滤器。

如果要从远程计算机或事件日志文件()加载事件。在网络上，您应该使用“选择数据源”窗口(F7)。

下窗格显示模式

当您在上窗格中选择事件时，下窗格将显示所选事件的详细信息，具体取决于您选择的显示模式(选项->下窗格显示模式):

显示事件描述:显示事件的完整描述。有些事件描述太长，无法在“描述”列中查看，因此您可以在下方窗格中查看更长的事件描述。

显示事件数据+描述:显示事件的完整描述和存储在此事件中的其他数据。

事件XML:显示事件的完整XML。

刷新(F5)和平滑刷新(F8)

FullEventLogView提供两种类型的刷新作业:

刷新(F5):重新加载整个事件日志。

刷新(F8):FullEventLogView仅添加自上次刷新后创建的新事件项。

自动刷新模式

启用自动刷新模式(选项->:自动刷新->；每x秒)，FullEventLogView会根据您选择的刷新间隔自动执行平滑刷新，因此您将能够看到何时创建新的事件日志。

以管理员身份运行

默认情况下，FullEventLogView不请求升级(以管理员身份运行)。如果您只想以管理员权限查看事件(如安全日志)，则必须按Ctrl+F11以管理员身份运行FullEventLogView。

命令行选项

/ ChannelFilter [1-3]

/ EventIDFilter [1-3]

/ PviderFilter [1-3]

/channel filterstr[筛选器Stng]

/EventIdFilterStr[筛选器Stng]

/PViderFilterStr[筛选器Stng]

中可以使用任何变量。从命令行设置配置。以下是一些例子:

要仅显示事件标识为8000和8001的事件:

FullEventLogView。exe/EventIDFilter 2/EventIDFilterStr " 8000，8001 "

只显示来自微软视窗系统的数据

Dhcp事件-客户端/管理通道:FullEventLogView。" micsoft-windows-DHCP-client/admin "

从中读取事件。存储在c: temp log中的evtx文件:

FullEventLogView。exe/data source 3/LogFolder " c: temp logs "/LogFolder ILD card " * "

要从远程计算机读取事件:

FullEventLogView。exe/data source 2/ComrName " 192 . 168 . 0 . 70 "

要将事件从远程计算机导出到. csv文件:

FullEventLogView。exe/scomma " c: temp remote _ nts . CSV "/data source 2/ComrName " 192 . 168 . 0 . 50 "

您可以在以下网页上找到更多命令行示例:

如何从命令行将远程计算机的窗口事件导出到csv文件如何从命令行导出窗口事件

导出存储在中的窗口事件。evtx文件转换为csv文件

/ClearChannelEvents & lt；频道名称>:清除指定频道的所有事件，例如:

FullEventLogView。exe/RunAsAdmin/ClearChannelEvents " Micsoft-Windows-WLAN-自动配置/操作"

/ cfg <。文件名>用指定的配置文件启动FullEventLogView。示例:

FullEventLogView。exe / cfg" c: config felv.cfg "

FullEventLogView。exe / cfg"%AppData% FullEventLogView。cfg "

/RunAsAdmin以管理员身份运行FullEventLogView。

/ stext <。文件名>将事件日志项目保存到简单的文本文件中。

/ stab <。文件名>将事件日志项目保存到制表符分隔的文本文件中。

/ scomma <。文件名>将事件日志项目保存到逗号分隔的文本文件(csv)中。

/stable & lt。文件名>将事件日志项目保存到表格文本文件中。

/ shtml <。文件名>将事件日志项目保存到一个HTML文件中(水平)。

/ sverhtml <。文件名>将事件日志项目保存到一个HTML文件中(垂直)。

/sxml & lt；文件名>将事件日志项保存到XML文件中。

/ sjson <。文件名>将事件日志保存到打开文件。

/Save以SaveDirect模式直接保存事件日志项。当与其他保存命令行选项(/scomma，/stab，/sxml等)结合使用时。)，当使用SaveDirect模式时，事件日志项将直接保存到磁盘，而不会加载到磁盘中。记忆第一。请注意，SaveDirect模式不支持排序功能。

/sort & lt；列>:此命令行选项可以与其他保存选项一起使用，按所需的列进行排序。参数可以指定列索引(第一列为0，第二列为1，依此类推)或列名，如记录标识和事件标识。如果要按降序排序，可以指定前缀字符" "(例如，“〜Channel").如果要按多列排序，可以在命令行中输入multiple/sort。