イベント ログ ファイルの形式

Windows Vista 以降のイベント ログは、拡張子 .evtx という新しいフォーマットになりました。
この変更により、従来のイベント ログ拡張子 .evt 形式の互換性ですが、保存はできず、読み込みだけが可能です。
ただし、WMI の API である BackupEventLog() をプログラムで実装することで、拡張子 .evt で保存することができます。
ここで拡張子 .evt について、一つ注意事項があります。
.evt 形式ですが、従来のイベントログ形式 (.evt) と Windows Vista 以降で API BackupEventLog() で作成した .evt は
同じ拡張子でも、フォーマット形式が異なります。

  1. 旧イベントログ フォーマット形式 (拡張子 .evt)
    Windows Server 2003 までの OS で使用していたイベントログ フォーマット形式
  2. レガシー イベントログ フォーマット形式 (拡張子 .evt)
    Windows Vista 以降の OS で BackupEventLog() を使い、出力したイベントログ フォーマット形式
    このイベントログは、Windows Server 2003 までの OS では正しく読み込めないので、
    Windows Vista 以降の OS で読み込む必要がある
  3. 新イベントログ フォーマット形式 (拡張子 .evtx)
    Windows Vista 以降の OS で採用されているイベントログ フォーマット形式

同じ拡張子で、フォーマットが異なるのは悩ましいところです。
なお、拡張子 .evt のフォーマットを .evtx に変換するには、イベントビューアーで .evt を開いて、.evtx で保存するか
wevtuil.exe というコマンドラインツールを使う方法があります。

例えば、wevtuil.exe を使うなら

wevtutil epl application.evt app_new.evtx /lf:true

という具合です。

なお、新イベントログ フォーマット形式 (拡張子 .evtx) を操作するには、新しい API セットがありますので
こちらを使うようにしましょう。

イベントログは奥が非常に深いです。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。