C# -从自定义应用程序读取嵌套事件日志

Question

我使用sysmon来捕获一系列事件信息(网络连接、DLL加载等)。我想提取这些信息并将其用于各种用途，但似乎没有任何方法来检索嵌套日志。他们住在

Event Viewer/Applications and Services/Microsoft/Windows/Sysmon/Operational

我尝试过的所有代码都只提取“标准”事件日志。例如：

EventLog[] eventLogs = EventLog.GetEventLogs();

拥有“应用程序”、“硬件事件”、"Internet Explorer“等。

我知道如何创建和检索自定义事件日志，但这似乎不适用于这里，因为这些日志不在标准位置。您能提供的任何帮助都将不胜感激！

Answer 1

看看System.Diagnostics.Eventing.Reader命名空间。特别是，您可以从以下站点获得完整的日志名称列表：

EventLogSession.GlobalSession.GetLogNames()

这有一个比EventLog.GetEventLogs()更完整的列表。这个命名空间中的其他有用类是EventLogReader和EventLogWatcher。