Назад | Перейти на главную страницу

Получение CSV-файла средства просмотра событий Windows из командной строки

EventViewer в Windows имеет возможность экспортировать журнал в файл CSV. Я хотел бы автоматически сделать резервную копию этого журнала в этом формате (как это делалось вручную в последние несколько лет). Это автономная система, которая обычно не имеет сетевого подключения, поэтому инструменты централизации журналов, вероятно, не будут работать.

Я заметил команду wmic NTEVENT, но не могу экспортировать в CSV. Вот пример: NTEVENT WHERE "LogFile='application' AND TimeGenerated > '20100709173000.000000-300'"

Могу ли я вывести это в файл CSV?

Используйте psloglist из http://technet.microsoft.com/en-us/sysinternals/bb897544.aspx

Он делает то, о чем вы просите.

NTEVENT WHERE "LogFile = 'application' AND TimeGenerated> '20100709173000.000000-300'" получить сообщение, имя источника / формат: csv

обратите внимание на / format: csv часть

Microsoft Log Parser делает это и многое другое. Множественные источники ввода, несколько мест назначения, все с использованием SQL-подобных запросов. http://www.microsoft.com/downloads/details.aspx?familyid=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

Форматы ввода

Форматы ввода файла журнала IIS

IISW3C: анализирует файлы журнала IIS в расширенном формате журнала W3C.

IIS: анализирует файлы журнала IIS в формате файла журнала Microsoft IIS.

BIN: анализирует файлы журнала IIS в формате централизованного двоичного файла журнала.

IISODBC: возвращает записи базы данных из таблиц, в которые ведется журнал IIS, если он настроен для входа в формате журнала ODBC.

HTTPERR: анализирует файлы журнала ошибок HTTP, созданные Http.sys.

URLSCAN: анализирует файлы журнала, созданные фильтром IIS URLScan.

Общие форматы ввода текстовых файлов

CSV: анализирует текстовые файлы со значениями, разделенными запятыми.

TSV: анализирует текстовые файлы со значениями, разделенными табуляцией и пробелами.

XML: анализирует текстовые файлы XML.

W3C: анализирует текстовые файлы в расширенном формате файла журнала W3C.

NCSA: анализирует файлы журнала веб-сервера в общих, комбинированных и расширенных форматах файлов журнала NCSA.

TEXTLINE: возвращает строки из общих текстовых файлов.

TEXTWORD: возвращает слова из общих текстовых файлов.

Форматы ввода системной информации

EVT: возвращает события из журнала событий Windows и файлов резервных копий журнала событий (файлы .evt).

FS: возвращает информацию о файлах и каталогах.

REG: возвращает информацию о значениях реестра.

ADS: возвращает информацию об объектах Active Directory.

Форматы ввода специального назначения

NETMON: анализирует файлы сетевого захвата, созданные NetMon.

ETW: анализирует Enterprise Tracing для файлов журнала трассировки Windows и текущих сеансов.

COM: предоставляет интерфейс для подключаемых модулей COM пользовательского формата ввода.

Форматы вывода

Общие форматы вывода текстовых файлов

NAT: форматирует выходные записи как читаемые табличные столбцы.

CSV: форматирует выходные записи как текст значений, разделенных запятыми.

TSV: форматирует выходные записи как текст с разделителями табуляции или пробелами.

XML: форматирует выходные записи как XML-документы.

W3C: форматирует выходные записи в формате расширенного журнала W3C.

TPL: форматирует выходные записи в соответствии с пользовательскими шаблонами.

IIS: форматирует выходные записи в формате файла журнала Microsoft IIS.

Форматы вывода специального назначения

SQL: выгружает выходные записи в таблицу в базе данных SQL.

SYSLOG: отправляет выходные записи на сервер системного журнала.

DATAGRID: отображает выходные записи в графическом пользовательском интерфейсе.

ДИАГРАММА: создает файлы изображений, содержащие диаграммы.