我有大量 2k12 r2 服务器,我想每 30 天保存一次他们的事件日志存档。我一直在寻找一个集中的解决方案,可能是一个 GPO。但据我所知,只能使用组策略来按文件大小归档日志或将它们保留一段时间。有没有办法将两者结合起来以获得我想要的东西,或者我最好使用 wevtutil 简单地编写脚本?
我希望将大量保存的安全日志文件 (.evtx) 导出为文本或 CSV 格式。我找到了 wevtutil 但在处理保存的日志文件时似乎只能将 .evt 转换为 .evtx:
wevtutil epl c:\logs\seclog.evtx c:\logs\seclog.txt /lf:true
该文件创建为 seclog.txt,但它是 .evtx 格式。
是否可以转换为文本,或者是否有其他方法可以尽快将文件转换为文本?我尝试使用 Powershell,但需要的时间太长。
编辑:我查看了 Log Parser,它似乎也很快,但它没有正确导出描述字段:
The description for Event ID xxx in Source "Microsoft-Windows-xxxx" cannot be found. The local computer may not have the...