Получение файла Windows EventViewer CSV из командной строки
EventViewer в Windows имеет возможность экспортировать журнал в файл CSV. Я хотел бы автоматически сделать резервную копию этого журнала в этом формате (как это делалось вручную в последние несколько лет). Это автономная система, которая обычно не имеет сетевого подключения, поэтому инструменты централизации журналов, вероятно, не будут работать.
Я заметил команду wmic NTEVENT, но, похоже, не могу получить экспорт в CSV. Вот пример:NTEVENT WHERE "LogFile='application' AND TimeGenerated > '20100709173000.000000-300'"
Могу ли я получить это для вывода в файл CSV?
3 ответа
Используйте psloglist с http://technet.microsoft.com/en-us/sysinternals/bb897544.aspx
Это точно, что вы просите.
NTEVENT WHERE "LogFile='application' AND TimeGenerated > '20100709173000.000000-300'" получить сообщение, имя источника / формат:csv
обратите внимание на / формат: CSV часть
Microsoft Log Parser делает это и многое другое. Несколько входных источников, несколько выходных назначений, все с использованием SQL-подобных запросов. http://www.microsoft.com/downloads/details.aspx?familyid=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en
Форматы ввода
Форматы ввода файла журнала IIS
IISW3C: анализирует файлы журнала IIS в расширенном формате файла журнала W3C.
IIS: анализирует файлы журнала IIS в формате файла журнала Microsoft IIS.
BIN: анализирует файлы журнала IIS в формате централизованного двоичного файла журнала.
IISODBC: возвращает записи базы данных из таблиц, в которые IIS входит, когда настроено ведение журнала в формате журнала ODBC.
HTTPERR: анализирует файлы журнала ошибок HTTP, созданные Http.sys.
URLSCAN: анализирует файлы журнала, сгенерированные фильтром URLScan IIS.
Универсальные форматы ввода текстовых файлов
CSV: анализирует текстовые файлы значений, разделенных запятыми.
TSV: анализирует текстовые файлы значений, разделенных табуляцией и пробелами.
XML: анализирует текстовые файлы XML.
W3C: анализирует текстовые файлы в расширенном формате файла журнала W3C.
NCSA: анализирует файлы журнала веб-сервера в общих, комбинированных и расширенных форматах файлов журнала NCSA.
TEXTLINE: возвращает строки из общих текстовых файлов.
TEXTWORD: возвращает слова из общих текстовых файлов.
Системные форматы ввода информации
EVT: возвращает события из журнала событий Windows и из файлов резервной копии журнала событий (файлы.evt).
FS: возвращает информацию о файлах и каталогах.
REG: возвращает информацию о значениях реестра.
ADS: возвращает информацию об объектах Active Directory.
Специальные входные форматы
NETMON: анализирует файлы захвата сети, созданные NetMon.
ETW: анализирует файлы журнала трассировки Enterprise Tracing для Windows и сеансы в реальном времени.
COM: предоставляет интерфейс для пользовательских плагинов формата ввода COM.
Выходные форматы
Общие форматы вывода текстовых файлов
NAT: форматирует выходные записи в виде читаемых табличных столбцов.
CSV: форматирует выходные записи в виде текста значений, разделенных запятыми.
TSV: форматирует выходные записи как текст значений, разделенных табуляцией или пробелом.
XML: форматирует выходные записи в виде документов XML.
W3C: форматирует выходные записи в расширенном формате файла журнала W3C.
TPL: форматирует выходные записи в соответствии с пользовательскими шаблонами.
IIS: форматирует выходные записи в формате файла журнала Microsoft IIS.
Специальные выходные форматы
SQL: загружает выходные записи в таблицу в базе данных SQL.
SYSLOG: отправляет выходные записи на сервер Syslog.
DATAGRID: отображает выходные записи в графическом интерфейсе пользователя.
CHART: создает файлы изображений, содержащие диаграммы.