我正在寻找关于如何改进在导出的.evt文件中删除Windows事件日志条目的过程的想法/build议。
我们每天从多台机器上收集导出的Windows日志。 然后将这些数据传输到一个单独的工具进行归档,分析等。我们的过程使用#年份和date对每个日志文件进行重命名,并对这些日志文件进行归档。 因此,对于“服务器1”机器,例如,我们将每天的日志提供给像这样的文件:
Server1_2016_001_Application.evt Server1_2016_002_Application.evt Server1_2016_003_Application.evt
…等等。 我们为每个日志types(系统,安全,以及其他一些)执行此操作。
为了避免大量的重复,我一直在使用wevtutil来生成这些文件的缩减副本,如下所示:
我怎样才能在Python中捕捉系统暂停事件?
Logback和Windows事件系统集成
Windows后台打印程序事件API不会生成networking打印机的事件
在linux中生成鼠标,键…等事件
是否有可能通过Windows键(可能没有挂钩)捕获Windows开始菜单popup窗口?
wevtutil epl "Application.evt" "Server1_2016_003_Application.evt" "/q:*[System[TimeCreated[@SystemTime>='2016-01-02T00:00:00.000Z' and @SystemTime<='2016-01-02T23:59:59.999Z']]]" /lf:true /ow:true
但是这个和我做的其他尝试是笨拙的; “003”导出可能没有从第3天开始的所有条目,因为我无法控制何时在源上导出日志。 我可以改为处理前一天的条目,但有时候我们希望/需要查看事件,直到日志被导出。
所以我想找出一种方法来确定LAST日志条目是在给定的文件中,以便第二天我可以查询只有在该条目后发生的事件。 IOW,对于每台机器的每个事件日志types,我想要捕获最后一个条目的时间标签等,并将该信息保存到磁盘,以便第二天,我可以读取和使用该信息作为起点一天的处理。
控制应用程序stream程的问题
c#Windows窗体:窗体closures事件取消button
Python正确查找和阅读Windows应用程序事件日志
在“控制面板”中添加我自己的应用程序事件 – >声音
在Ubuntu中使用C / C ++进行线路input插孔
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
