我有一台运行MicroSoft Exchange的Windows Server 2008。审核日志存储在evtx中,我正在尝试将日志导出到第三方收集器。我们使用的代理(Snare Epilog,其中的开源代码)不识别evtx格式,也不会将它们转发到收集服务器。
我正在尝试通过Powershell和Task Scheduler实施变通方法。我面临的问题是,虽然我可以访问evtx并将其另存为.txt,但我每次都会重新整理整个日志。但是,我想每5分钟或更短时间发送一次新事件。
我使用的代码是:
$File = "C:\text.txt; Get-WinEvent -Path C:\test.evtx | Format-Table -AutoSize | Out-File $File -append -width 750
我真的很感激帮助!
答案 0 :(得分:1)
您可以使用Get-EventLog,而不是Get-WinEvent,然后使用After参数仅获取最后五分钟的事件,或者更好地跟踪您看到的最新事件消息。< / p>
以下是如何获取应用程序日志的最后五分钟。
Get-EventLog -LogName Application -After $((Get-Date).AddMinutes(-5))