从命令行获取EventViewer CSV文件

Question

Windows中的EventViewer具有将日志导出到CSV文件的能力。我想以这种格式自动备份该日志(就像过去几年中手动完成的那样)。这是一个独立的系统，通常不会有网络连接，所以日志集中工具可能无法工作。

我注意到一个命令，但似乎无法导出到CSV。下面是一个例子：NTEVENT WHERE "LogFile='application' AND TimeGenerated > '20100709173000.000000-300'"

我能把它输出到CSV文件吗？

Answer 1

使用http://technet.microsoft.com/en-us/sysinternals/bb897544.aspx中的psloglist

它确实符合你的要求。

Answer 2

在其中，"LogFile='application‘和TimeGenerated >’20100709173000.000000-300‘获得消息，/format:csv

注意到/format:csv部件

Answer 3

做了这件事，还有更多。多个输入源，多个输出目的地，都使用类似SQL的查询。http://www.microsoft.com/downloads/details.aspx?familyid=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

输入格式

IIS日志文件输入格式

IISW3C:以W3C扩展日志文件格式解析IIS日志文件。

IIS:以Microsoft日志文件格式解析IIS日志文件。

BIN:以集中式二进制日志文件格式解析IIS日志文件。

IISODBC:在配置为以ODBC日志格式登录时，从IIS记录的表中返回数据库记录。

HTTPERR:解析由Http.sys生成的HTTP错误日志文件。

URLSCAN:解析由URLScan IIS筛选器生成的日志文件。

通用文本文件输入格式

CSV:解析逗号分隔的值文本文件。

TSV:分析选项卡分隔和空格分隔的值文本文件。

XML:解析XML文本文件。

W3C:以W3C扩展日志文件格式解析文本文件。

NCSA:分析NCSA公共、组合和扩展日志文件格式中的web服务器日志文件。

TEXTLINE:从一般文本文件返回行。

TEXTWORD:从一般文本文件返回单词。

系统信息输入格式

EVT:从和事件日志备份文件(.evt文件)返回事件。

FS:返回有关文件和目录的信息。

REG:返回注册表值的信息。

ADS:返回有关Active对象的信息。

专用输入格式

NETMON:解析NetMon创建的网络捕获文件。

ETW:分析Windows跟踪日志文件和活动会话的企业跟踪。

COM:提供自定义输入格式COM插件的接口。

输出格式

通用文本文件输出格式

NAT:将输出记录格式化为可读的表列。

CSV:将输出记录格式化为逗号分隔的值文本。

TSV:将输出记录格式化为制表符分隔或空格分隔的值文本.

XML:将输出记录格式化为XML文档。

W3C:以W3C扩展日志文件格式格式化输出记录。

TPL:按照用户定义的模板格式化输出记录.

IIS:以Microsoft IIS日志文件格式格式化输出记录。

专用输出格式

SQL:将输出记录上载到SQL数据库中的表中。

SYSLOG:将输出记录发送到Syslog服务器。

DATAGRID:在图形用户界面中显示输出记录。

图表:创建包含图表的图像文件。