只输出新的事件日志的Wevtutil

Question

我运行命令wevtutil qe Application /rd:false /f:text并得到如下所示的输出。过了一段时间，可以生成新的事件日志，我只想读取这些新的事件日志，如Event2、Event3、Event4等。

如何使用wevtutil工具只生成这些新的事件日志？

事件

• 日志名称:应用程序
• 资料来源:Microsoft LoadPerf
• 日期: 2016-04-21T23:15:16.832
• 事件ID: 1000
• 任务: N/A
• 级别:信息
• Opcode: Info
• 关键词: N/A
• 用户: S-1-5-18
• 用户名: NT授权\系统
• 电脑: WIN-IONOGQTF9O5
• 描述:成功加载了WmiApRpl (WmiApRpl)服务的性能计数器。数据部分中的记录数据包含分配给此服务的新索引值。

Event1

• 日志名称:应用程序
• 资料来源:Microsoft LoadPerf
• 日期: 2016-04-21T23:15:13.097
• 事件ID: 3011
• 任务: N/A
• 级别:信息
• Opcode: Info
• 关键词: N/A
• 用户: S-1-5-18
• 用户名: NT授权\系统
• 电脑: WIN-IONOGQTF9O5
• 描述:卸载服务WmiApRpl (WmiApRpl)的性能计数器字符串失败。数据部分中的第一个DWORD包含错误代码。

Answer 1

我们不是PowerShell，所以我被误导了。但是，您可以这样做：

Get-EventLog -LogName Application -Newest -After ( Get-Date ).AddDays(-1)

Answer 2

/rd:false会先读最老的，所以如果你寻找最新的，它可能不是最好的查询。

我不知道事件日志的读/未读标记，您可以创建一个自定义对象并添加一个对象，但这可能不是绕过它的最佳方法。

您还可以执行以下操作

$lastRanDate = "2018-11-30T17:20:55" ##import from a txt file
$date = Get-date -UFormat %Y-%m-%dT%H:%M:%S
##Get's current date and formats as following example 2018-12-01T17:17:45
$difference = New-TimeSpan -Start $lastRanDate -End $date
##Calculate difference between start time and end time
$difference = $difference.TotalMilliseconds
wevtutil epl Application "C:\Users\Pipastrilo\Desktop\appTest.evtx" /q:"*[System[TimeCreated[timediff(@SystemTime) <= $difference]]]"
## exportLog logName Path query(TimeCreated between current and HowManayMillisecondsAgo


$lastRanDate = $date
##export $lastRunDate for future searches