如何使用事件查看器查看活动审核日志
如果在集群上运行了审核整合过程,对于已启用审核的存储虚拟机(SVM),整合过程会在其活动审核日志中附加新记录。可在 Microsoft 事件查看器中通过 SMB 共享访问并打开此活动审核日志。
除了可以查看现有审核记录,事件查看器还有一个刷新选项,可刷新控制台窗口中的内容。新附加的日志是否可在事件查看器中查看,取决于用于访问活动审核日志的共享上是否启用了机会锁。
| 共享上的机会锁设置 | 行为 |
|---|---|
| 已启用 | 事件查看器打开日志时,其中包含打开前写入的事件。刷新操作不会用整合过程附加的新事件刷新日志。 |
| 已禁用 | 事件查看器打开日志时,其中包含打开前写入的事件。刷新操作会刷新日志,以显示整合过程附加的新事件。 |
注
此信息仅适用于 EVTX 事件日志。XML 事件日志可在浏览器中通过 SMB 查看,或使用任何 XML 编辑器或查看器通过 NFS 查看。
提供反馈