问题标签 [get-winevent]

我正在尝试从归档的事件日志文件中检索与错误和警告相关的一些信息。使用以下查询忽略某些事件 ID，但需要仅忽略来自特定源的那些事件 ID

下面的查询使 ia m 尝试使用忽略那些事件 id 来获取输出，但寻找可以是事件 id && source(providername) 组合的东西。

I would like to search the eventlog with one simple query as opposed to going through the same ordeal twice. I simply want to search the eventlog for both application warnings and errors as well as the system log. I currently have it running but would like to have one query if possible.

I would prefer to do something like this but don't know the context to put it in.

我想知道如何检查整个 Windows 日志以查找与特定日期匹配的事件：目前在“系统”日志上停止:(

Get-WinEvent System | where {$_.TimeCreated -eq "24.03.2021 20:50:37"}

但结果告诉我什么。我想使用脚本来搜索所有事件，而不仅仅是系统。我需要将日期与事件相关联。我的脚本如下所示：

(Get-WinEvent –ListLog * -ErrorAction SilentlyContinue).LogName | ForEach-Object {Get-WinEvent | where $_.TimeCreated -eq "24.03.2021 20:50:37"}}

但出现语法错误

我的短期目标是Microsoft-Windows-TerminalServices-LocalSessionManager从名为的日志中收集事件 ID 40 和 42，Microsoft-Windows-TerminalServices-**LocalSessionManager/Operational然后根据 Session/SessionID 对它们进行排序。虽然我可以尝试解析消息属性，但我正在尝试使用EventLogRecord的GetPropertyValues方法，该方法带有一个System.Diagnostics.Eventing.Reader.EventLogPropertySelector参数。此外，对于事件 40 的消息，会话 ID 首先显示标记为“会话”，对于事件 41 的消息显示第二个标记为“会话 ID”。

我看到在 2018 年，Peter-Core和Mathias R. Jessen都给出了如何做到这一点的答案。按照他们的示例，我查看了事件提供者的事件模板。

作为测试，我创建了以下内容来尝试从事件 ID 42 中获取会话 ID：

没有错误信息。GetPropertyValues() 方法不返回任何内容。PowerShell 版本：5.1.14393.2457

( Get-WindowsVersion credit)

我的长期目标是产生类似以下输出的东西。这篇文章的请求是帮助从GetPropertyValues方法中获取值。我也想在其他项目中使用这种方法。

我正在使用 get-winevent 将 evtx 日志转换为 .json 文件。然后我把它寄给了ELK。
Get-WinEvent -Path .\log.evtx | ConvertTo-Json|Format-List | Out-File log.json
该文件看起来像一个包含 Windows 上文件的普通字符串。但是当我把它带到linux时，它包含二进制数据，无法解析为ELK。

即使我使用 out-string，也没有任何变化。
$result = Get-WinEvent -Path .\user-creation-1log.evtx | ConvertTo-Json| Format-List
$result | Out-String | out-file log.json

这在 linux 中也看起来像一个二进制文件。（虽然我记得创建export-csv了get-winevent完整的文本文件，但这会产生一个非常难看的格式化 csv 文件）。我真的很喜欢 convertTo-json 格式化和重视 json 数据的方式，并且更喜欢它。（如果有人可以提供一种不同的方式将 evtx 数据以最完整的形式转换为 json，很高兴接受）。
我已经尝试过 evtx2csv python 模块，但这不会将输出写入文件。

我正在收听诸如对象销毁、隐藏、显示、创建等情况的全局获胜事件……</p>

但是，我想根据该句柄（HWND）是什么来做某些事情。例如，一个按钮只是被隐藏或破坏了还是一个窗口？是隐藏的子窗口还是父窗口？最后一个问题是关于在父窗口关闭时似乎为父窗口中的每个对象引发的事件，这是太多的噪音。试图弄清引发事件的原因。

https://docs.microsoft.com/en-us/windows/win32/winauto/what-are-winevents

EvtFormatMessage 获取事件消息的速度非常慢，并且会增加 Event Log 服务的 CPU 使用率和内存。有更好的解决方案吗？

我找到了 2 个允许我们从 Windows 事件日志中读取的 python 库：winevt 和 win32evt。两者都非常出色，因为允许主动订阅来收集数据。但是，我的问题是我无法获得“任务类别”属性。是否可以通过 python 读取相同的内容？

我想从事件文件中获取记录，但它不断截断消息。

TimeCreated Id LevelDisplayName 消息

10/21/2021 2:29:20 PM 19102 错误获取服务器发布数据失败....
10/21/2021 2:29:20 PM 19203 错误 HttpRequest sendRequest 失败....
2021/10/21 2:29 :05 PM 19102 错误获取服务器发布数据失败....
10/21/2021 2:29:05 PM 19203 错误 HttpRequest sendRequest 失败....
10/21/2021 2:28:50 PM 19102 错误获取服务器发布数据失败……

我一直在使用此脚本来审核具有 100 个打印队列的打印服务器的打印作业。我想修改它以显示单个打印队列的使用情况。例如 - PRINTER01 最近 90 天的使用情况。有人能帮忙吗？