我使用sysmon来捕获一堆事件信息(网络连接,DLL加载等)。我想提取这些信息并将其用于各种目的,但似乎没有办法检索嵌套日志。他们居住在
Event Viewer/Applications and Services/Microsoft/Windows/Sysmon/Operational
我尝试的所有代码都只提取了#34;标准"事件日志。例如:
EventLog[] eventLogs = EventLog.GetEventLogs();
有"应用","硬件事件"," Internet Explorer"等
我知道如何创建和检索自定义事件日志,但这似乎并不适用于此处,因为这些日志不在标准位置。非常感谢您提供的任何帮助!
答案 0 :(得分:5)
查看System.Diagnostics.Eventing.Reader命名空间。特别是,您可以从以下位置获取完整的日志名称列表:
EventLogSession.GlobalSession.GetLogNames()
这个列表比EventLog.GetEventLogs()更完整。此命名空间中的其他有用类是EventLogReader和EventLogWatcher。