我已阅读文章 wevtutil.exe 可以使用 / sbm 开关将事件书签值存储到xml文件中。
我正在编写一个应用程序(C#),在其中连续读取转发的事件。我想确保我要从进程停止之前的剩余位置开始读取事件。我读到EventBookmarks可以提供帮助。我有“ EventRecord ”实例,并且具有“ Bookmark ”属性,但是我不确定如何将书签值存储在文件中,因为我可以参考并在其中使用下一次迭代。
wevtutil创建的书签文件如下所示。
<BookmarkList Direction='backward'> <Bookmark Channel='C:\Windows\System32\winevt\Logs\ForwardedEvents.evtx' RecordId='159121' IsCurrent='true'/> </BookmarkList>
我知道有一个RecordId属性,但是不能使用它,因为该值是从原始主机复制的,并且WEC收集器正在从多个主机接收事件。
有一个由书签创建的记录标识符,但不确定如何获取。
请让我知道更好的方法。