イベントログをコマンドで操作するためのユーティリティとして、Wevtutil があります。
GUI からイベントログをエクスポートする際には、以下のように表示情報を追加でエクスポートすることができます。
これを行うことでイベントログのメッセージに対してのメタデータを LocalMetaData ディレクトリに出力をし、該当のイベントログやイベントログプロバイダーがインストールされていない環境でもメッセージを表示させることができるようになります。
この表示情報は Wevtutil を使用した場合も出せるのですが一つの操作ではなく、コマンドを組み合わせる必要があります。
# 管理者として実行したコマンドプロンプトで実行をしないと archive-log でうまく情報が出力できないかもしれません。
wevtutil export-log Application c:tempapplication.evtx wevtutil archive-log c:tempapplication.evtx /locale:ja
最初のコマンドでイベントログをエクスポートし、次のコマンドでエクスポートしたイベントログに対しての表示情報 (LocalMetaData) を生成しています。
evtx ファイルと LocalMetaDeta フォルダをセットで利用することで、メッセージを含めてイベントログの情報を他の環境で利用することが可能となります。
ロケールの指定については、ロケール ID (LCID) の一覧 から確認できます。
久しぶりにコマンドでエクスポートしたら表示情報をすっかり忘れていたのでメモとして。