存檔的evtx文件在哪裏？

Question

我知道您可以在事件查看器中查看任何evtx文件，但是當您使用該選項將它們歸檔時，它們將保存在什麼文件夾中？

我知道我可以在C：\ Windows \ System32 \ winevt \ Logs中找到所有的evtx文件，但是當我進入該文件夾時，我看不到任何存檔文件。然後我再次認爲我的日誌已經填滿了甚至可以存檔任何東西。

我在桌面上運行Windows 7 Home以及Windows 7專業版。我想知道兩者是否有區別。

另外，這些文件是否只是名爲Archive- *？意思是存檔，然後不論它們來自何處（安全，應用等）。

非常感謝您的幫助。

Answer 1

你已經接近回答了。默認情況下，eventlogs被歸檔到%System32%\winevt\Logs文件夾中。他們的名字是由一個模板形成：

Archive + <Event log name> + <Date> + <Time>.evtx 

只能通過改變實際的日誌文件的路徑更改備份的日誌的路徑。因爲atchived日誌與實際日誌文件放在同一個文件夾中。