如何使用事件查看器查看活动的审计日志

如果在集群上运行审计整合过程、整合过程会将新记录附加到启用审核的存储虚拟机 (SVMS) 的活动审核日志文件中。 Storage Virtual Machine (SVM).可以在 Microsoft 事件查看器中通过 SMB 共享访问和打开此活动审核日志。

除了查看现有审计记录外、事件查看器还提供了刷新选项、可让您刷新控制台窗口中的内容。是否可以在事件查看器中查看新附加的日志取决于是否在用于访问活动审核日志的共享上启用了 Oplocks 。

oplockks 设置在共享上 行为
已启用 事件查看器将打开日志,其中包含写入到该时间点的事件。刷新操作不会使用合并过程附加的新事件刷新日志。
禁用 事件查看器将打开日志,其中包含写入到该时间点的事件。刷新操作将刷新日志,并在合并过程中附加新事件。
注:此信息仅适用于EVTX事件日志。XML可以通过浏览器中的 SMB 或使用任何 XML 编辑器或查看器通过 NFS 查看事件日志。