特定のコンテンツのEvtxファイルを解析する最も効率的な方法

Question

Evtxセキュリティイベントログを何百も持っています。特定のイベントID（4624）とイベントIDに基づいてユーザー名（joe）を解析する必要があります。私は以下のようにPowerShellコマンドレットを使用しようとしました：私は私のevtxファイルのすべてのパスパラメータのリストを含む変数を渡すことができます知っている

get-winevent -filterhashtable @{Path="mypath.evtx"; providername="securitystuffprovider"; id=4624} 

が、私はのサブセットに基づいてフィルタリングすることができませんEVTXのメッセージ。また、Evtxファイルを1つだけ解析するのには非常に長い時間がかかります。 Evtxを解析するためのPythonパッケージがあることは知っていますが、Python-evtxパーサはパッケージ自体のインポートと使用の素晴らしい例を提供していないため、どのように見えるのか分かりません。あまりにも多くのディスク容量を必要とするので、私はすべてのデータをcsvに取り出すことができません。どのように素晴らしいのだろうかについての任意のアイデア。ありがとう。次いで

-FilterXPath

Answer 1

パラメーターと共に使用-PathなどのようなXPath式を使用してフィルタ：

$Username = 'jdoe' 
$XPathFilter = "*[System[(EventID=4624)] and EventData[Data[@Name='SubjectUserName'] and (Data='$Username')]]" 

Get-WinEvent -Path C:\path\to\log\files\*.evtx -FilterXPath $XPathFilter