情况:我需要每小时检查一次多台服务器的目录服务事件日志。为了做到这一点而不破坏 DC 并不受网络速度的限制,我将 evtx 文件复制到另一台机器。缺点是,我正在处理的机器上没有 AD 角色,我也无法安装它,这意味着 logparser.exe 和 PowerShell Get-WinEvent 等工具无法读取日志中的消息信息。
我正在寻找一种方法,既可以以编程方式从事件日志中读取消息,也可以加载 dll/程序集以方便读取消息。我强烈推荐使用 PowerShell,因为我不是 .NET 开发人员。
提前感谢你的帮助。
答案1
如果您使用 Get-WinEvent cmdlet,则所有消息信息都存储在名为 properties 的属性中。我和一位同事经过一番探索和猜测后发现了这一点。
对于那些使用 LogParser(它读取事件日志的速度更快)的人来说,您可以在 Strings 属性中找到该消息。
感谢那些查看并试图提供帮助的人!