我正在寻找有关如何改进导出的.evt文件中重复数据删除Windows事件日志条目的过程的想法/建议。
我们每天从许多计算机上收集导出的Windows日志。然后将它们传输到一个单独的工具进行存档,分析等。我们的流程使用年份和日期#重命名每个日志文件,并将这些文件存档。因此,对于机器" Server1",我们将在这样的文件中提供每天的日志:
Server1_2016_001_Application.evt
Server1_2016_002_Application.evt
Server1_2016_003_Application.evt
......等等。我们为每种日志类型(系统,安全性以及其他一些类型)执行此操作。
为了避免大量重复,我一直在使用wevtutil生成这些文件的精简副本,如下所示:
wevtutil epl "Application.evt" "Server1_2016_003_Application.evt" "/q:*[System[TimeCreated[@SystemTime>='2016-01-02T00:00:00.000Z' and @SystemTime<='2016-01-02T23:59:59.999Z']]]" /lf:true /ow:true
但是我和其他尝试都是笨拙的; &#34; 003&#34;导出可能没有从第3天开始的所有条目,因为我无法控制何时在源处导出日志。我可以只处理前一天的条目,但有时我们希望/需要查看事件直到导出日志。
因此,我试图找出一种方法来确定给定文件中的LAST日志条目是什么,以便第二天我只能查询该条目之后发生的事件。 IOW,对于每台机器的每个事件日志类型,我想捕获最后一个条目的时间标签等,并将该信息保存到磁盘,以便第二天,我可以阅读并使用该信息作为该信息的起点当天的处理。