Bearbeiten von Backupdateien eines Eventlogs

Question

Hallo!
Mit BackupEventLog () erstellte Backups von Eventlogs können sehr groß sein (> 20 MB). Kann ich nur einen Teil der Events speichern oder ist es möglich, die erstellte große Datei zu bearbeiten, um die ältesten Events zu entfernen?

Danke und Gruß
Frank

Answer 1

Hallo Frank,

wenn man die Funktionen anschaut, ist ein selektives Löschen nicht vorgesehen.

Das sinnvollste dürfte sein ClearEventLog zu verwenden, das löscht das aktuelle Protokoll und kann zugleich eine Sicherung anlegen - wie es auch im Windows Dialog möglich ist.

Und damit es nicht zu viel wird, dies häufig genug, ggf. mit rollierenden Sicherungsdateien.

Gruß Elmar

Answer 2

Hallo Elmar,
leider darf ich die Logs auf dem Rechner des Kunden nicht löschen.

Ich hatte gehofft, dass das Format der Backup-Datei eventuell irgendwo dokumentiert ist, so dass ich über normale Dateibehandlung die ältesten Logs entfernen kann.

Groß Frank

Answer 3

Hallo Frank,

die Protokolldateien selbst sind dokumentiert und vermutlich (jetzt nicht probiert) sieht das Backup gleich / ähnlich aus.

Gruß Elmar

Answer 4

Hallo Elmar,
Danke, das hatte ich noch nicht gefunden!

Wenn das Format das gleiche ist, werde ich mir die fehlenden Funktionen mal selbst schreiben.

Gruß Frank

Answer 5

Ich habe die Funktion

BOOL WINAPI EvtExportLog(
  _In_opt_  EVT_HANDLE Session,
  _In_      LPCWSTR Path,
  _In_      LPCWSTR Query,
  _In_      LPCWSTR TargetFilePath,
  _In_      DWORD Flags
);

gefunden.
In Query kann man auch eine Bedingung für "CreateTime" mitgeben und so z.B. nur die Logs der letzten 30 Tage exportieren.

Danke und Gruß
Frank