我听说我可以在事件查看器中查看来自 IIS-FTP 源的日志,事件 ID 为 13。此事件 ID 表示登录 FTP 服务器失败(运行 IIS 10 并启用日志记录)。出于某种原因,FTP 服务器似乎不会将这些事件生成到 evtx 文件,而只会生成到位于 C:\inetpub\logs\LogFiles\FTPSVC 的文本文件中。
我如何启用 evtx 文件格式的日志记录以及在事件查看器中可以在哪里查看这些事件?
答案1
您可以使用 Microsoft 的“Log Parser”工具将 IIS FTP(文本)日志转换为 evtx,然后使用事件查看器管理控制台打开该 evtx。Log Parser 可与查询配合使用,这是一个将其转换为 evtx 的示例查询
SELECT *
FROM 'C:\Path\To\Your\FTP\Log\Files\u_ex*.log'
WHERE (Fields(1) LIKE 'FTP')
INTO 'C:\Path\To\Your\Output\Folder\output.evtx'
USING SELECT *
https://www.microsoft.com/en-us/download/details.aspx?id=24659
更进一步来说,您还可以使用自定义事件日志源和日志解析器将其直接纳入 Windows 事件日志中。