FullEventLogView

FullEventLogView是一款针对Windows而开发的事件记录与志管理工具，此工具可以在不同版本的win系统中运行，可在表格中显示Windows事件志中所有事件的详细，包括事件描述;它使用户可以查看本地计算机的事件，网络上远程计算机的事件以及.evtx文件中存储的事件;它还允许您从GUI和命令行将事件列表导出到text/csv/tab-delimited/html/xml文件;新版本在文件菜单下添加了新FullEventLogView实例，用于打开程序的新窗口，添加了志文件列，如果事件是直接从.evtx或.etl文件加载的，则显示志文件名;现在在高级选项窗口的通道和提供者字段中，您可以从组合框中选择所需的通道/提供者!

FullEventLogView新版功能

现在，当读取将事件数据存储在XML的EventPayload元素中的.etl文件时

FullEventLogView会自动将EventPayload从十六进制字符串转换为可读文本，并将其显示为事件的摘要。

例如，您可以使用此功能从Windows 10上的C： windows logs WindowsUpdate查看Windows Update志。

在右键单击上下文菜单中添加了复制单击的单元格选项

该选项可将您用鼠标右键单击的单元格的文本复制到剪贴板。

在“列设置”窗口中添加了“全选”和“取消全选”。

在上下文菜单中添加了“清除所选通道的所有事件”选项。

增加描述过滤器字符串的最大大小。

添加了“清除选定频道的所有事件”选项(在文件菜单下)

例如：如果您选择一个事件的频道为“系统”，则使用此选项将删除所有系统事件。

添加了/ClearChannelEvents命令行选项，该选项可清除指定通道的所有事件，例如：

FullEventLogView.exe/RunAsAdmin/ClearChannelEventsMicsoft-Windows-Bits-Client/Operational

在说明过滤器中添加了2种模式：“在说明参数中搜索”和“在完整说明字符串中搜索”。

在以前的版本中，搜索是在描述参数中进行的，但是有人报告这是一个错误。

现在，默认情况下会在完整的描述字符串内进行搜索

但是这种搜索模式比较慢，因为它需要在过滤过程之前加载元数据并格式化描述字符串。

在“快速过滤器”窗口中添加了“区分大小写”选项。

添加了/ RunAsAdmin命令行选项，用于以管理员身份运行FullEventLogView。

在“快速过滤”功能中添加了新选项，包括用于通过事件ID过滤列表的选项。

当选择只加载特定的事件ID(从“高级选项”窗口)，加载过程要快得多。

现在，您可以通过将空字符串指定为文件名来将数据发送到stdout，例如：

FullEventLogView.exe / scomma“” | 更多

添加了选择以选择另一种字体(名称和大小)以显示在主窗口中的选项。

将具有多行描述的项目导出到制表符分隔的文件(包括“复制所选项目”选项)时

FullEventLogView现在将描述置于引号中，以确保导出的数据将在Excel和其他程序中正确显示。

添加了对另存为ON文件的支持。

添加了“在列中显示事件字符串”选项(在“选项”菜单下)。

启用后，会将10个新的事件字符串列添加到主表(字符串1，字符串2，字符串3…)

这些列显示事件描述中的字符串，您可以单击列标题以根据事件字符串对事件进行排序。

添加了/ cfg命令行选项，该选项指示FullEventLogView在默认配置文件中使用配置文件代替其他位置，例如：

FullEventLogView.exe / cfg“%AppData% FullEventLogView.cfg”

添加了根据事件描述的字符串进行过滤的选项(在“高级选项”窗口中)。

添加了“快速过滤器”功能(查看->使用快速过滤器或Ctrl + Q)。

启用后，您可以在工具栏下添加的文本框中键入字符串

FullEventLogView软件特色

MyEventViewer是一个非常老的工具，最初是为Windows XP / 2000/2003开发的。

从Windows Vista开始，Micsoft创建了具有全新编程接口的新事件志系统。

即使在Windows 10上，旧的编程界面仍然可以使用

但是它无法访问Windows Vista和更高版本的系统上添加的新事件志。

MyEventViewer使用旧的编程界面，因此它无法显示Windows 10/8/7/Vista上添加的许多事件志

FullEventLogView使用新的编程界面，因此将显示所有事件。

FullEventLogView将立即过滤事件表，仅显示包含您键入的字符串的行。

添加了在T(高级选项窗口)中指定时间范围的选项。

添加了自动读取存档志文件的选项(在“选择数据源”窗口中)。

仅当您以管理员身份运行FullEventLogView时，此选项才有效。

如果FullEventLogView无法从外部evtx文件或远程计算机加载事件，则现在显示错误消息。

在工具栏中添加了“选择数据源”图标。

FullEventLogView使用教程

开始使用FullEventLogView

FullEventLogView不需要任何安装过程或其他DLL文件。为了开始使用它，只需运行可执行文件-FullEventLogView.exe

。运行FullEventLogView之后，主窗口将加载并显示最近7天的所有事件。您可以使用“高级选项”窗口(F9)更改默认的7天时间过滤器并设置其他过滤器

如果要从网络上的远程计算机或事件志文件(.evtx)加载事件，则应使用“选择数据源”窗口(F7)。

下窗格显示模式

当您在上部窗格中选择一个事件时，下部窗格将显示所选事件的详细，具体取决于您选择的显示模式(选项->下部窗格显示模式)：

显示事件描述：显示事件的完整描述。某些事件描述太长而无法在“描述”列中进行查看，因此您可以在下部窗格中查看较长的事件描述。

显示事件数据+描述：显示事件的完整描述以及此事件中存储的其他数据。

Show Event XML：显示事件的完整XML。

刷新(F5)和平滑刷新(F8)

FullEventLogView提供两种类型的刷新作：

刷新(F5)：重新加载整个事件志

平滑刷新(F8)：FullEventLogView仅添加自上一次刷新以来已创建的新事件项。

自动刷新模式

启用“自动刷新”模式(选项->自动刷新->每x秒)时，FullEventLogView会根据您选择的刷新间隔自动执行平滑刷新，因此您将能够看到何时创建新的事件志项。

以管理员身份运行

默认情况下，FullEventLogView不请求提升(以管理员身份运行)。如果要观看只有管理员权限(例如安全志)可用的事件，则必须按Ctrl + F11以管理员身份运行FullEventLogView。

命令行选项

/ ChannelFilter [1-3]

/ EventIDFilter [1-3]

/ PviderFilter [1-3]

/ ChannelFilterStr [Filter Stng]

/ EventIDFilterStr [Filter Stng]

/ PviderFilterStr [Filter Stng]

您可以在.cfg文件中使用任何变量，以便从命令行设置配置，以下是一些示例：

为了仅显示事件ID为8000和8001的事件：

FullEventLogView.exe / EventIDFilter 2 / EventIDFilterStr“ 8000,8001”

为了仅显示来自Micsoft-Windows-

Dhcp -Client / Admin通道的事件： FullEventLogView.exe / ChannelFilter 2 / ChannelFilterStr“ Micsoft-Windows-Dhcp-Client / Admin”

为了从存储在c： temp logs中的.evtx文件中读取事件：

FullEventLogView.exe / DataSource 3 / LogFolder“ c： temp logs” / LogFolderWildcard“ *”

为了从远程计算机读取事件：

FullEventLogView.exe / DataSource 2 / ComrName“ 192.168.0.70”

为了将事件从远程计算机导出到.csv文件：

FullEventLogView.exe / scomma“ c： temp remote_nts.csv” / DataSource 2 / ComrName“ 192.168.0.50”

您可以在以下网页中找到更多命令行示例：

如何从命令行将远程计算机的Windows事件导出到csv文件 如何从命令行

将存储在.evtx文件中的Windows事件导出到csv文件

/ ClearChannelEvents <频道名称>清除指定通道的所有事件，例如：

FullEventLogView.exe / RunAsAdmin / ClearChannelEvents“ Micsoft-Windows-WLAN-AutoConfig / Operational”

/ cfg <文件名>使用指定的配置文件启动FullEventLogView。例如：

FullEventLogView.exe / cfg“ c： config felv.cfg”

FullEventLogView.exe / cfg“%AppData% FullEventLogView.cfg”

/ RunAsAdmin以管理员身份运行FullEventLogView。

/ stext <文件名>将事件志项保存到一个简单的文本文件中。

/ stab <文件名>将事件志项保存到制表符分隔的文本文件中。

/ scomma <文件名>将事件志项保存到以逗号分隔的文本文件(csv)中。

/ stabular <文件名>将事件志项保存到表格文本文件中。

/ shtml <文件名>将事件志项保存到HTML文件(水平)中。

/ sverhtml <文件名>将事件志项保存到HTML文件(垂直)中。

/ sxml <文件名>将事件志项保存到XML文件中。

/ sjson <文件名>将事件志项保存到ON文件中。

/保存直接将事件志项保存在SaveDirect模式下。与其他保存命令行选项(/ scomma，/ stab，/ sxml等)一起使用时，使用SaveDirect模式时，事件志项将直接保存到磁盘，而无需将其加载到磁盘中。记忆第一。请注意，SaveDirect模式不支持排序功能。

/ sort <列>此命令行选项可与其他保存选项一起使用，以按所需列进行排序。参数可以指定列索引(第一列为0，第二列为1，依此类推)或列名，例如“记录ID”和“事件ID”。如果要以降序排序，则可以指定“〜”前缀字符(例如：“〜Channel”)。如果要按多列排序，可以在命令行中输入多个/ sort。