Evtxセキュリティイベントログを何百も持っています。特定のイベントID(4624)とイベントIDに基づいてユーザー名(joe)を解析する必要があります。私は以下のようにPowerShellコマンドレットを使用しようとしました:私は私のevtxファイルのすべてのパスパラメータのリストを含む変数を渡すことができます知っている特定のコンテンツのEvtxファイルを解析する最も効率的な方法
get-winevent -filterhashtable @{Path="mypath.evtx"; providername="securitystuffprovider"; id=4624}
が、私はのサブセットに基づいてフィルタリングすることができませんEVTXのメッセージ。また、Evtxファイルを1つだけ解析するのには非常に長い時間がかかります。 Evtxを解析するためのPythonパッケージがあることは知っていますが、Python-evtxパーサはパッケージ自体のインポートと使用の素晴らしい例を提供していないため、どのように見えるのか分かりません。あまりにも多くのディスク容量を必要とするので、私はすべてのデータをcsvに取り出すことができません。どのように素晴らしいのだろうかについての任意のアイデア。ありがとう。次いで
-FilterXPath
[Windowsイベントログを解析する手法(http://undernexus.com/2014/07/10/windows-eventlogs /)? – wwii
はい、下記のコマンドでフィルタリングできますが、完全なイベントログのデータポイントをすべて提供するわけではありません。 – johnnyb