存档事件

存档文件可以包含机密数据。为了确保存档数据的机密性，创建存档实例需要登陆 Security Server。请与管理员联系以获得更多信息。

为了存档事件:

1. 在控制台树状项目中，选择 事件 节点。
2. 单击归档按钮。

   事件存档向导开始。向导的第一个窗口显示事件的数量，包括可以存档和不能存档的事件的数量。

   仅已关闭的事件，例如，事件已关闭 (<理由>) 状态，可以存档。如果没有这样的事件列表中,存档是不可能的。

   已经被存档，然后从事件列表中恢复的事件不能再次存档。此类事件有(已归档)属性在状态字段。向导归档序列过程中会忽略它们。

3. 如果向导中没有在列表中找到已关闭事件，它们可能已经根据过滤条件隐藏了。在这种情况下，点击 取消停止向导。然后取消过滤或修改过滤条件并重新启动事件存档向导。
4. 点击 浏览 按钮，并在打开的窗口中输入存档文件名称和目标文件夹。
5. 单击下一步按钮。

   在目标文件夹中创建指定名称的存档文件。关闭事件从列表中移动到存档。存档和跳过事件的数量显示在向导窗口。

   在 Security Server 的 Windows 事件日志中记录以下事件："等级（Level）=Warning; 源（Source）=KSCM8; 事件 ID（Event ID）=16013"，以及以下文本：安全人员已经创建一个事件归档。

   请与管理员联系以获得更多信息。

6. 单击 完成 按钮以关闭向导。

事件移动至存档时，事件将从事件列表中删除。

当生成报告和统计数据，应用程序不计算在已被存档的事件。

页面顶部