EventLogChannelsView

EventLogChannelsView是一款多功能志管理与清理工具，用户可以通过此工具对所有版本win系统中的志数据进行查看/禁用/启用或者清除;同时此工具还支持显示系统上所有事件志通道的列表，包括通道名称，事件志文件名，启用/禁用状态，通道中的当前事件数以及更多;还可以让您轻松地一次在多个通道上执行某些作：启用/禁用通道，设置其最大文件大小以及清除存储在通道中的所有事件;新版本添加了在FullEventLogView中查看频道选项，该选项允许您使用FullEventLogView工具查看所选频道的事件，为了使用此功能，用户必须将FullEventLogView文件放在EventLogChannelsView的同一文件夹中，您也可以使用此功能在远程计算机上查看所选频道的事件!

EventLogChannelsView新版功能

在右键单击上下文菜单中添加了复制单击的单元格选项

该选项可将您用鼠标右键单击的单元格的文本复制到剪贴板。

添加了工具栏按钮以清除选定的频道。

添加了“提供商指南”列。

请注意，默认情况下，FullEventLogView工具仅显示最近7天的事件

但您可以在“高级选项”窗口(F9)中进行更改。

在“列设置”窗口中添加了“全选”和“取消全选”。

添加了“将标题行添加到CSV /制表符分隔的文件”选项(默认情况下处于启用状态)。

添加了“保存所有项目”选项(Shift + Ctrl + S)。

现在，您可以调整属窗口的大小，并且该窗口的最后一个大小/位置保存在.cfg文件中。

EventLogChannelsView软件特色

添加了对另存为ON文件的支持。

添加了“在托盘上放置图标”选项。

添加了选择以选择另一种字体(名称和大小)以显示在主窗口中的选项。

添加了“快速过滤器”功能(查看->使用快速过滤器或Ctrl + Q)。

启用后，您可以在工具栏下添加的文本框中键入字符串

EventLogChannelsView将立即过滤事件志通道，仅显示包含您键入的字符串的行。

在上下文菜单中添加了设置保留/备份模式。

现在，您可以设置所选通道的保留/备份模式(文件->设置保留/备份模式)

根据需要覆盖事件，已满时存档志或不覆盖事件。

添加了“隐藏具有0个事件的频道”选项。

EventLogChannelsView使用教程

开始使用EventLogChannelsView

EventLogChannelsView不需要任何安装过程或其他DLL文件。为了开始使用它，只需运行可执行文件-EventLogChannelsView.exe，

在运行EventLogChannelsView之后，主窗口将显示系统上当前可用的所有事件志通道的列表。如果要连接网络上的远程计算机，请按F7(选择数据源)，选择从远程计算机加载事件通道，键入计算机名称。

您可以选择一个或多个通道，禁用它们(F2)，启用它们(F3)，设置其最大文件大小或清除存储在该通道中的所有事件。您可以使用“保存所选项目”选项将频道列表导出到html / xml / csv / tab分隔文件。

列说明

通道名称：事件志通道的名称。

发布者：频道发布者的名称。

文件名：事件志文件名的名称(.evtx和.etl文件)

完整路径：事件志文件名的完整路径

启用：如果启用了事件志通道，则显示“是”，如果禁用则显示“否”。

经典：如果旧版Windows(应用程序，系统，安全)中存在经典事件志，则显示“是”

最大大小：事件志文件的最大大小，以KB为单位。

文件达到最大大小：如果文件大小达到最大文件大小，则显示“是”(如“最大大小”列中所示)

文件修改时间：事件志文件的修改时间。

File Created Time：事件志文件的创建时间。

文件大小：事件志文件的大小。

通道类型：通道类型-管理员，分析，调试或可作。

通道隔离：通道的隔离模式-系统，应用程序或自定义。

事件计数：此事件志通道中存储的当前事件数。

最旧记录号：此事件志通道中存储的最旧记录号。

自动备份模式：如果此值为“是”，则达到最大大小后将自动备份志。

保留模式：如果事件志达到最大大小，并且“保留模式”为“是”，则保留现有事件，并丢弃传入事件。如果保留模式为“否”，则传入事件将覆盖志中最旧的事件。

使用FullEventLogView查看频道事件

为了查看所选通道的事件，您必须下载FullEventLogView工具，将FullEventLogView.exe放在EventLogChannelsView.exe的同一文件夹中，将启用“在FullEventLogView中查看通道”菜单项。

启用此菜单项后，只需选择一个或多个通道，从右键单击上下文菜单或从“文件”菜单中选择“在FullEventLogView中查看通道”菜单项。FullEventLogView将使用正确的过滤器自动打开，以仅显示所选通道的事件。

如果您选择连接网络上的远程计算机(在EventLogChannelsView的“高级选项”窗口中)，FullEventLogView还将在同一台远程计算机上显示事件。

请注意，默认情况下，FullEventLogView工具仅显示最近7天的事件，但您可以在“高级选项”窗口(F9)中进行更改。

命令行选项

/ stext <文件名>将事件志通道保存到一个简单的文本文件中。

/ stab <文件名>将事件志通道保存到制表符分隔的文本文件中。

/ scomma <文件名>将事件志通道保存到以逗号分隔的文本文件(csv)中。

/ stabular <文件名>将事件志通道保存到表格文本文件中。

/ shtml <文件名>将事件志通道保存到HTML文件(水平)中。

/ sverhtml <文件名>将事件志通道保存到HTML文件(垂直)中。

/ sxml <文件名>将事件志通道保存到XML文件中。

/ sort <列>此命令行选项可与其他保存选项一起使用，以按所需列进行排序。参数可以指定列索引(第一列为0，第二列为1，依此类推)或列名，例如“ Publisher”和“ Channel Name”。如果要以降序排序，则可以指定“〜”前缀字符(例如：“〜Maximum Size”)。如果要按多列排序，可以在命令行中输入多个/ sort。