FullEventLogView(系统事件记录与日志管理器)

　　FullEventLogView是一款针对Windows而开发的事件记录与日志管理工具，此工具可以在不同版本的win系统中运行，可在表格中显示Windows事件日志中所有事件的详细信息，包括事件描述；它使用户可以查看本地计算机的事件，网络上远程计算机的事件以及.evtx文件中存储的事件；它还允许您从GUI和命令行将事件列表导出到text/csv/tab-delimited/html/xml文件；新版本在文件菜单下添加了新FullEventLogView实例，用于打开程序的新窗口，添加了日志文件列，如果事件是直接从.evtx或.etl文件加载的，则显示日志文件名；现在在高级选项窗口的通道和提供者字段中，您可以从组合框中选择所需的通道/提供者！

新版功能

　　现在，当读取将事件数据存储在XML的EventPayload元素中的.etl文件时

　　FullEventLogView会自动将EventPayload从十六进制字符串转换为可读文本，并将其显示为事件的摘要。

　　例如，您可以使用此功能从Windows 10上的C：\ windows \ logs \ WindowsUpdate查看Windows Update日志。

　　在右键单击上下文菜单中添加了复制单击的单元格选项

　　该选项可将您用鼠标右键单击的单元格的文本复制到剪贴板。

　　在“列设置”窗口中添加了“全选”和“取消全选”。

　　在上下文菜单中添加了“清除所选通道的所有事件”选项。

　　增加描述过滤器字符串的最大大小。

　　添加了“清除选定频道的所有事件”选项（在文件菜单下）

　　例如：如果您选择一个事件的频道为“系统”，则使用此选项将删除所有系统事件。

　　添加了/ClearChannelEvents命令行选项，该选项可清除指定通道的所有事件，例如：

　　FullEventLogView.exe/RunAsAdmin/ClearChannelEventsMicrosoft-Windows-Bits-Client/Operational

　　在说明过滤器中添加了2种模式：“在说明参数中搜索”和“在完整说明字符串中搜索”。

　　在以前的版本中，搜索是在描述参数中进行的，但是有人报告这是一个错误。

　　现在，默认情况下会在完整的描述字符串内进行搜索

　　但是这种搜索模式比较慢，因为它需要在过滤过程之前加载元数据并格式化描述字符串。

　　在“快速过滤器”窗口中添加了“区分大小写”选项。

　　添加了/ RunAsAdmin命令行选项，用于以管理员身份运行FullEventLogView。

　　在“快速过滤”功能中添加了新选项，包括用于通过事件ID过滤列表的选项。

　　当选择只加载特定的事件ID（从“高级选项”窗口），加载过程要快得多。

　　现在，您可以通过将空字符串指定为文件名来将数据发送到stdout，例如：

　　FullEventLogView.exe / scomma“” | 更多

　　添加了选择以选择另一种字体（名称和大小）以显示在主窗口中的选项。

　　将具有多行描述的项目导出到制表符分隔的文件（包括“复制所选项目”选项）时

　　FullEventLogView现在将描述置于引号中，以确保导出的数据将在Excel和其他程序中正确显示。

　　添加了对另存为JSON文件的支持。

　　添加了“在列中显示事件字符串”选项（在“选项”菜单下）。

　　启用后，会将10个新的事件字符串列添加到主表（字符串1，字符串2，字符串3...）

　　这些列显示事件描述中的字符串，您可以单击列标题以根据事件字符串对事件进行排序。

　　添加了/ cfg命令行选项，该选项指示FullEventLogView在默认配置文件中使用配置文件代替其他位置，例如：

　　FullEventLogView.exe / cfg“％AppData％\ FullEventLogView.cfg”

　　添加了根据事件描述的字符串进行过滤的选项（在“高级选项”窗口中）。

　　添加了“快速过滤器”功能（查看->使用快速过滤器或Ctrl + Q）。

　　启用后，您可以在工具栏下添加的文本框中键入字符串

软件特色

　　MyEventViewer是一个非常老的工具，最初是为Windows XP / 2000/2003开发的。

　　从Windows Vista开始，Microsoft创建了具有全新编程接口的新事件日志系统。

　　即使在Windows 10上，旧的编程界面仍然可以使用

　　但是它无法访问Windows Vista和更高版本的系统上添加的新事件日志。

　　MyEventViewer使用旧的编程界面，因此它无法显示Windows 10/8/7/Vista上添加的许多事件日志

　　FullEventLogView使用新的编程界面，因此将显示所有事件。

　　FullEventLogView将立即过滤事件表，仅显示包含您键入的字符串的行。

　　添加了在GMT（高级选项窗口）中指定时间范围的选项。

　　添加了自动读取存档日志文件的选项（在“选择数据源”窗口中）。

　　仅当您以管理员身份运行FullEventLogView时，此选项才有效。

　　如果FullEventLogView无法从外部evtx文件或远程计算机加载事件，则现在显示错误消息。

　　在工具栏中添加了“选择数据源”图标。

使用教程

　　开始使用FullEventLogView

　　FullEventLogView不需要任何安装过程或其他DLL文件。为了开始使用它，只需运行可执行文件-FullEventLogView.exe

　　。运行FullEventLogView之后，主窗口将加载并显示最近7天的所有事件。您可以使用“高级选项”窗口（F9）更改默认的7天时间过滤器并设置其他过滤器

　　如果要从网络上的远程计算机或事件日志文件（.evtx）加载事件，则应使用“选择数据源”窗口（F7）。

　　下窗格显示模式

　　当您在上部窗格中选择一个事件时，下部窗格将显示所选事件的详细信息，具体取决于您选择的显示模式（选项->下部窗格显示模式）：

　　显示事件描述：显示事件的完整描述。某些事件描述太长而无法在“描述”列中进行查看，因此您可以在下部窗格中查看较长的事件描述。

　　显示事件数据+描述：显示事件的完整描述以及此事件中存储的其他数据。

　　Show Event XML：显示事件的完整XML。

　　刷新（F5）和平滑刷新（F8）

　　FullEventLogView提供两种类型的刷新操作：

　　刷新（F5）：重新加载整个事件日志

　　平滑刷新（F8）：FullEventLogView仅添加自上一次刷新以来已创建的新事件项。

　　自动刷新模式

　　启用“自动刷新”模式（选项->自动刷新->每x秒）时，FullEventLogView会根据您选择的刷新间隔自动执行平滑刷新，因此您将能够看到何时创建新的事件日志项。

　　以管理员身份运行

　　默认情况下，FullEventLogView不请求提升（以管理员身份运行）。如果要观看只有管理员权限（例如安全日志）可用的事件，则必须按Ctrl + F11以管理员身份运行FullEventLogView。

　　命令行选项

　　/ ChannelFilter [1-3]

　　/ EventIDFilter [1-3]

　　/ ProviderFilter [1-3]

　　/ ChannelFilterStr [Filter String]

　　/ EventIDFilterStr [Filter String]

　　/ ProviderFilterStr [Filter String]

　　您可以在.cfg文件中使用任何变量，以便从命令行设置配置，以下是一些示例：

　　为了仅显示事件ID为8000和8001的事件：

　　FullEventLogView.exe / EventIDFilter 2 / EventIDFilterStr“ 8000,8001”

　　为了仅显示来自Microsoft-Windows-

　　Dhcp -Client / Admin通道的事件： FullEventLogView.exe / ChannelFilter 2 / ChannelFilterStr“ Microsoft-Windows-Dhcp-Client / Admin”

　　为了从存储在c：\ temp \ logs中的.evtx文件中读取事件：

　　FullEventLogView.exe / DataSource 3 / LogFolder“ c：\ temp \ logs” / LogFolderWildcard“ *”

　　为了从远程计算机读取事件：

　　FullEventLogView.exe / DataSource 2 / ComputerName“ 192.168.0.70”

　　为了将事件从远程计算机导出到.csv文件：

　　FullEventLogView.exe / scomma“ c：\ temp \ remote_events.csv” / DataSource 2 / ComputerName“ 192.168.0.50”

　　您可以在以下网页中找到更多命令行示例：

　　如何从命令行将远程计算机的Windows事件导出到csv文件 如何从命令行

　　将存储在.evtx文件中的Windows事件导出到csv文件

　　/ ClearChannelEvents <频道名称>清除指定通道的所有事件，例如：

　　FullEventLogView.exe / RunAsAdmin / ClearChannelEvents“ Microsoft-Windows-WLAN-AutoConfig / Operational”

　　/ cfg <文件名>使用指定的配置文件启动FullEventLogView。例如：

　　FullEventLogView.exe / cfg“ c：\ config \ felv.cfg”

　　FullEventLogView.exe / cfg“％AppData％\ FullEventLogView.cfg”

　　/ RunAsAdmin以管理员身份运行FullEventLogView。

　　/ stext <文件名>将事件日志项保存到一个简单的文本文件中。

　　/ stab <文件名>将事件日志项保存到制表符分隔的文本文件中。

　　/ scomma <文件名>将事件日志项保存到以逗号分隔的文本文件（csv）中。

　　/ stabular <文件名>将事件日志项保存到表格文本文件中。

　　/ shtml <文件名>将事件日志项保存到HTML文件（水平）中。

　　/ sverhtml <文件名>将事件日志项保存到HTML文件（垂直）中。

　　/ sxml <文件名>将事件日志项保存到XML文件中。

　　/ sjson <文件名>将事件日志项保存到JSON文件中。

　　/保存直接将事件日志项保存在SaveDirect模式下。与其他保存命令行选项（/ scomma，/ stab，/ sxml等）一起使用时，使用SaveDirect模式时，事件日志项将直接保存到磁盘，而无需将其加载到磁盘中。记忆第一。请注意，SaveDirect模式不支持排序功能。

　　/ sort <列>此命令行选项可与其他保存选项一起使用，以按所需列进行排序。参数可以指定列索引（第一列为0，第二列为1，依此类推）或列名，例如“记录ID”和“事件ID”。如果要以降序排序，则可以指定“〜”前缀字符（例如：“〜Channel”）。如果要按多列排序，可以在命令行中输入多个/ sort。