怎么抓log日志

日志是IT运维中十分重要的一项事务，不仅仅记录了系统运行的过程和状态，也对问题排查和维护提供了重要的依据。而在Windows操作系统中，也自带了一系列的日志功能，只需要简单的配置就能够将应用程序或者系统事件的具体信息全部记录下来。接下来，我们将详细的描述一下如何在Windows上抓取日志。

一、Windows日志的种类

在Windows系统中，常见的几种日志记录如下：

1. 应用程序日志: 记录了应用程序在运行时的相关信息，并可以根据事件ID进行分类。

2. 系统日志： 记录了系统事件，包括了硬件、软件以及系统服务的相关信息。同时也根据事件ID进行分类。

3. 安全日志： 记录了登录、日程管理、考勤、鉴定等事件的相关信息。同时也根据事件ID进行分类。

4. Microsoft Office Diagnostics日志： 记录了Microsoft Office应用程序的故障和异常情况。

5. 电源日志： 记录了系统在电源方面的事件和状态，比如电源管理、系统休眠和唤醒等。

二、抓取Windows日志的方式

在Windows上抓取日志有很多方法，具体如下：

【1】使用事件查看器

Windows提供了事件查看器，非常方便用于查看系统或是安装的应用程序的日志。其中，系统日志、安全日志和应用程序日志都可以从这个工具中查看。具体步骤如下：

1. 点击“开始”，打开“事件查看器”。

2. 在事件查看器左侧菜单中选择“Windows日志”，然后根据需要选择相应的日志类型。

3. 点击“查找”按钮，筛选出需要查找的事件。可以按照事件ID、关键字、时间等方式进行筛选。

4. 选中一条事件，可以查看该事件的详细信息。

【2】使用PowerShell命令行

PowerShell是Windows的一种命令行工具，可以用于查看系统日志和其它类型的日志。具体步骤如下：

1. 打开PowerShell并输入以下命令以查看系统日志：

Get-EventLog -LogName System

2. 输入以下命令以查看安全日志：

Get-EventLog -LogName Security

3. 输入以下命令以查看应用程序日志：

Get-EventLog -LogName Application

【3】使用 PowerShell 脚本

有些情况下，需要定制日志的筛选规则来满足特殊需求，这时候我们可以使用PowerShell脚本来实现。具体步骤如下：

1. 打开PowerShell ISE。

2. 在“命令”窗口中输入以下脚本，生成一个筛选适合条件的日志文件。

# Create a log of events with task category of live migration

$name = "miglog.evtx"

$log = "Microsoft-Windows-Hyper-V-VMMS/Operational"

$keyword = "live migration"

New-Item -ItemType Directory -Force "C:\LogFiles\Eventlogs"

$fulllog = "C:\LogFiles\Eventlogs\"+$name

wevtutil epl "$log" "$fulllog" "/q:*[System[EventID=21502 and Task=272]]" /ow:true

3. 运行脚本以生成日志文件，并将其放到路径C:\LogFiles\Eventlogs下。

【4】使用Windows事件记录

我们可以结合Windows事件记录（Windows Event Forwarding）来抓取日志。这种方法必须要有一个Windows Server系统来做后台，但可以实现日志的高效采集和传输。具体步骤如下：

1. 打开Windows服务器，在“事件查看器”中选择“自定义视图”，然后右键单击窗口并选择“操作”>“订阅”。

2. 填写订阅向导中的信息，包括要订阅哪些Windows事件以及在哪里保存收集到的日志。

3. 在安装订阅后，系统会将收集到的日志存储到指定的位置，并且可以使用事件查看器来查看。

总结

通过以上的介绍，相信大家已经了解了如何在Windows上抓取日志。无论是通过事件查看器、PowerShell命令行，还是使用脚本或者事件记录，都可以帮助我们灵活的获取并定制自己所需要的日志信息。同时，在日志采集时，也需要注意采集的目录和筛选规则，以便更好的进行运维工作。