こんにちは、Windows プラットフォーム サポートの徳永です。
本記事では、イベントビューアーで確認されております事象についてご紹介いたします。
更新履歴
2018/11/28
事象
イベント ビューアー内、右ペインの "現在のログをフィルター" にてフィルターし、"全てのイベントを名前をつけて保存" メニューで .evtx 形式以外の拡張子でイベントを保存すると、一部情報が欠落することがございます。
原因
イベント ビューアーにてフィルターしたイベントを保存する処理の中で、スレッド間の処理が競合することにより、発生している事象となります。
回避策
イベント ビューアーにて、フィルターしたイベントを保存する場合には、.evtx 形式の拡張子で保存いただくか、イベント ビューアーを使用せず、コマンドを使用してテキストに出力することで、事象を回避することができます。
下記は Get-WinEvent コマンドを使用して、日時を指定した場合のコマンド例になります。
▼ 特定の期間のイベントを .csv 形式でエクスポートする
- コマンド
Get-WinEvent -Filterhashtable @{Logname='イベント名';Starttime='yy/mm/dd hh:mm:ss;Endtime='yyyy/mm/dd hh:mm:ss'} | export-csv -encoding default -path
- 記述例
Get-WinEvent -Filterhashtable @{Logname='System';Starttime='2018/09/01 10:00:00';Endtime='2018/11/01 01:00:00'}| export-csv -encoding default -path C:Export.csv
▼ 特定の期間のイベントを .txt 形式でエクスポートする
- コマンド
Get-WinEvent -Filterhashtable @{Logname='イベント名';Starttime='yy/mm/dd hh:mm:ss;Endtime='yyyy/mm/dd hh:mm:ss'} | Out-File
- 記述例
Get-WinEvent -Filterhashtable @{Logname='System';Starttime='2018/09/01 10:00:00';Endtime='2018/11/01 01:00:00'} | Out-File c:test.txt
▼ 参考情報
Get-WinEvent
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.diagnostics/get-winevent?view=powershell-6
wevtutil
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
備考
本問題は現時点での修正を予定しておらず、次期バージョンの OS にて修正を予定しております。