目录服务事件日志

Question

情况:我需要每小时检查一次多台服务器的目录服务事件日志。为了做到这一点，而不压碎DC，并且不受网络速度的约束，我将evtx文件复制到另一台机器上。缺点是，我正在处理的机器上没有AD角色，也不能安装它，这意味着像logparser.exe和PowerShell Get-WinEvent这样的工具无法读取日志中的消息信息。

我所寻求的是一种以编程方式从事件日志读取消息的方法，或者能够加载dll/程序集以方便所述读取。PowerShell非常喜欢，因为我不是.NET开发人员。

提前感谢您的协助。

Answer 1

如果使用的是Get-WinEvent cmdlet，则所有消息信息都存储在名为“属性”的属性中。我和一位同事在四处闲逛和猜测之后发现了这件事。

对于使用LogParser (读取事件日志要快得多)的人，您可以在Strings属性中找到消息。

感谢那些看了看并尽力帮助的人！