导出系统日志发给技术支持协助分析

Windows获取日志非常方便，直接去这个目录拿就行了：C:\Windows\System32\winevt\Logs，按大小倒叙排列，一般看这3个

把这3个日志从原位置复制到别的地方，压缩下发给技术支持分析。

个人建议用下面导出日志的办法，cmd命令行执行wevtutil epl命令就行，epl是export-log的缩写，wevtutil epl和wevtutil export-log都行，例如

以日期命名，格式须指定.evtx，分别导出安全日志、系统日志、应用日志

wevtutil epl Security C:\Security0420.evtx

wevtutil epl System C:\System0420.evtx

wevtutil epl Application C:\Application0420.evtx

上面命令里的epl其实是export-log的缩写，例如

wevtutil export-log Security C:\Security0421.evtx

wevtutil export-log System C:\System0421.evtx

wevtutil export-log Application C:\Application0421.evtx

导出后压缩一下，大概95%的压缩率，21M压缩完只有1M，压缩后传输很方便