C# EventViewer日志解析

Question

我负责解析转发的EventViewer (evt)日志(Windows 7?)。为此，我在日志上使用logs 2.2运行一个查询，并提取特定的EventID并将它们写入CSV文件。但是，我正在考虑使用EventViewerReader来代替。

我正在对这些evt进行的查询包括一个"strings“列，它输出一堆垃圾--通常是格式：侧边\Username\Usergroup\.但这不一致。我想要的是一种一致的方法来获取这些事件的用户名并过滤掉无用的数据。问题是我不理解输出的格式。我想知道这些事件是否有标准的格式，或者这是否是我工作中的自定义格式？我现在使用的方法基本上是查找已知的用户组，并检查它们左边的潜在用户名(跳过“局部变量服务”、“网络服务”、"-“和其他一些关键字)。这个方法的问题是，我不知道所有的用户组，而且我可以在用户名上得到假阳性。

下面是我正在查看的一些EventID码：https://www.ultimatewindowssecurity.com/securitylog/quickref/downloads/quickref.zip

4624    An account was successfully logged on
4625    An account failed to log on
4647    User initiated logoff
4648    A logon was attempted using explicit credentials
4800    The workstation was locked
4801    The workstation was unlocked
4802    The screen saver was invoked
4803    The screen saver was dismissed

Answer 1

最后，我仔细查看了evt文件，并看到它们有一组XML模式。"Strings“不是真正的元素，而是EventData子数据元素的级联值。我所做的就是查看每个EventID的模式，并在每个事件类型中找到用户名的深度。

我认为它是用于登录/注销的字符串5，用于其他几个的字符串，以及用于其他几个的字符串strings1。

<EventData>
  <Data Name="SubjectUserSid">S-1-5-18</Data> 
  <Data Name="SubjectUserName">XXX-PC$</Data> 
  <Data Name="SubjectDomainName">WORKGROUP</Data> 
  <Data Name="SubjectLogonId">0x3e7</Data> 
  <Data Name="TargetUserSid">S-1-5-18</Data> 
  <Data Name="TargetUserName">SYSTEM</Data> 
  <Data Name="TargetDomainName">NT AUTHORITY</Data> 
  <Data Name="TargetLogonId">0x3e7</Data>
...
</EventData>