这篇文章是关于 Sysinternals/Microsoft 的新 sysmon 工具以及与 psloglist.exe 相关的事件日志,同样来自 Sysinternals/Microsoft
我想使用 PSLoglist 查询 sysmon Windows 事件日志:“应用程序和服务日志/Microsoft/Windows/Sysmon/Operational”。
在我的 Windows 7 机器上,我可以看到(psloglist -z):
Event logs available on <computername>:
ActivationClientLibrary
Application
Cisco AnyConnect Secure Mobility Client
Dell
HardwareEvents
Internet Explorer
Key Management Service
Media Center
ODiag
OSession
Security
Symantec Enterprise Vault
Symantec Enterprise Vault Converters
System
Windows PowerShell
根据 psloglist,这些是我电脑上“注册”的事件日志。Sysmon/Operational 尚未包含在此列表中。因此,psloglist 无法访问此日志。
问题:如何注册此日志以便 psloglist 可以访问其内容?
谢谢 -
抢
答案1
以下不是答案,但这是我的临时解决方法......
在事件查看器中的 sysmon\operational 日志中,右键单击,然后
- 选择“将所有事件另存为...”
- 另存为 evtx 文件...例如
sysmon.evtx
我通过处理
psloglist -d 999 -r -s -t \t -x -l sysmon.evtx sys > sysmon.txt
这不是我喜欢的,但目前还可以用。