3

我有一个运行 Microsoft Exchange 的 Windows Server 2008。审核日志存储在 evtx 中,我正在尝试将日志导出到第 3 方收集器。我们使用的代理(Snare Epilog,其中开源)无法识别 evtx 格式,不会将其转发到采集服务器。

我正在尝试通过 Powershell 和 Task Scheduler 实施解决方法。我面临的问题是,虽然我可以访问 evtx 并将其保存为 .txt,但我每次都在重新解析整个日志。但是,我只想每 5 分钟或更短时间发送一次新事件。

我正在使用的代码是这样的:

$File = "C:\text.txt; Get-WinEvent -Path C:\test.evtx | Format-Table -AutoSize | Out-File $File -append -width 750

我真的很感激帮助!

4

1 回答 1

1

您可以使用Get-EventLog,而不是Get-WinEvent,然后使用 After 参数仅获取最后五分钟的事件,或者更好地跟踪您看到的最新事件消息。

以下是获取应用程序日志最后五分钟的方法。

Get-EventLog -LogName Application -After $((Get-Date).AddMinutes(-5))
于 2013-06-17T14:36:28.520 回答