为什么在日期之后获取事件时，Get-WinEvent比Get-EventLog慢？

Question

在特定日期之后检索事件时，Get-WinEvent似乎比Get-EventLog慢：

$SourceComputer = "MyServer"
$LogName = "Security"
$StartDate = (get-date).AddMinutes(-30)
$hashquery = @{logname=$LogName; StartTime=$StartDate}
(Measure-Command -Expression {Get-WinEvent -ComputerName $SourceComputer -FilterHashTable $hashquery}).TotalSeconds
(Measure-Command -Expression {Get-EventLog -Computer $SourceComputer -LogName $Logname -After $StartDate}).TotalSeconds

输出：

Get-WinEvent: 128.8475308
Get-EventLog: 4.5299092

这似乎很奇怪，因为Get-WinEvent应该比旧的Get-EventLog函数执行得更好。我做错了什么吗？

Answer 1

...Get-WinEvent应该比旧的Get-EventLog...

对于大多数参数，这是正确的。Get-WinEvent比Get-EventLog更快，因为Get-EventLog抓取整个EventLog，然后进行本地过滤。

然而，Get-WinEvent确实有一些警告，第一个是-FilterHashtable，它有一个few bugs。

第二，根据Ansgar Wiechers引用的blog post的底部，-FilterHashtable非常慢。建议使用-FilterXML

Answer 2

根据this blog post的说法，Get-EventLog在用于远程主机时似乎要慢得多。