Le Logparser peut-il interroger les nouveaux types de files journaux en 2008

J'essaie de searchr un problème et j'aimerais utiliser Logparser pour interroger à distance un des nouveaux types de journaux 2008 contre de nombreux servers distants. Je souhaite interroger le journal d'installation, pas l'application, le système, la security. Logparser semble ignorer ces nouveaux types de journaux, et j'ai été incapable de find un moyen de le faire sans certains hacks.

J'ai vu des articles sur d'autres hacks pour rendre cela possible. Parce que j'ai besoin d'interroger environ 100 servers, les hacks que j'ai trouvés sont less que l'idéal. Wevtutil pour convertir le file entier avant la requête est inefficace et n'est pas pratique de le faire à distance contre de nombreuses machines. L'ajout de regles à HKLM \ SYSTEM \ CurrentControlSet \ services \ eventlog est fastidieux car chaque fois que vous souhaitez interroger un autre de ces nouveaux types de journaux, vous devez créer une nouvelle key.

L'utilisation du path complet vers le file EVTX le traite comme du text et ne produit pas de sortie utile. En spécifiant l'input, EVT donne une erreur d'utilisation du file. La requête est réalisée à partir d'une machine R2 2008, où une autre publication a déclaré que Logparser prendrait en charge les files EVTX. Est-il possible d'utiliser Logparser à distance contre ces nouveaux journaux sans ces hacks?

PS C:\> .\LogParser.exe "SELECT * FROM \\NOBODY\admin$\System32\winevt\Logs\setup.evtx" WARNING: Input format not specified - using TEXTLINE input format. LogFilename Index Text -------------------------------------------------- ----- ------- \\NOBODY\admin$\System32\winevt\Logs\Setup.evtx 1 ElfFile \\NOBODY\admin$\System32\winevt\Logs\Setup.evtx 2 ♦A  à \\NOBODY\admin$\System32\winevt\Logs\Setup.evtx 3 ╫ Press a key... Task aborted by user. PS F:\apps\Logparser> .\LogParser.exe /i:evt "SELECT * FROM \\NOBODY\admin$\System32\winevt\Logs\setup.evtx" Task aborted. Cannot open <from-entity>: Error opening event log "\\?\UNC\SDCBOOP22\admin$\ System32\winevt\Logs\Setup.evtx": The process cannot access the file because it is being used by another process. PS C:\> .\LogParser.exe /i:evt "SELECT * FROM \\NOBODY\Setup" Error: Error resortingeving files: Error searching for files in folder \\NOBODY\Setup: The network na me cannot be found. PS C:\> .\LogParser.exe "SELECT * FROM \\NOBODY\Setup" WARNING: Input format not specified - using TEXTLINE input format. Task aborted. Cannot open <from-entity>: Error opening files: Error searching for files in folder \\NOBODY\Setup: The network name cannot be found. 

Vous êtes sur la bonne voie en utilisant l'option / i: EVT avec LogParser, mais vous ne lisez apparemment pas la sortie – il est clair que The process cannot access the file because it is being used by another process.

Vous ne pouvez pas accéder aux files journaux d'une machine en cours d'exécution – ceux-ci sont verrouillés par le service de journal des events. Si vous devez interroger des events à partir de machines en direct, envisagez d'accéder à un instantané VSS où le locking ne serait pas un problème ou l'utilisation de requêtes WQL contre le journal des events à la place. Puisque vous utilisez PowerShell de toute façon, l'utilisation de la class System.Diagnostics.Eventlog devrait également vous y accéder.