Ситуация: мне нужно проверять журналы событий службы каталогов для нескольких серверов один раз в час. Чтобы сделать это, не разрушая контроллеры домена и не ограничиваясь скоростью сети, я копирую файл evtx на другой компьютер. Обратной стороной является то, что машина, на которой я работаю, не имеет роли AD, и я не могу ее установить, что означает, что такие инструменты, как logparser.exe и PowerShell Get-WinEvent, не могут прочитать информацию о сообщении в журнале.
Я ищу способ либо программно прочитать сообщение из журнала событий, либо иметь возможность загрузить библиотеки DLL / сборки для облегчения указанного чтения. Я настоятельно рекомендую PowerShell, поскольку я не разработчик .NET.
Заранее благодарим за помощь.
Если вы используете командлет Get-WinEvent, вся информация о сообщении хранится в свойстве с именем properties. Мы с коллегой обнаружили это после долгих поисков и предположений.
Те из вас, кто использует LogParser (который, кстати, намного быстрее читает журналы событий), могут найти сообщение в свойстве Strings.
Спасибо тем, кто посмотрел и попытался помочь!