var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-333696-1']); _gaq.push(['_trackPageview']); _gaq.push(['_trackPageLoadTime']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })();
  • 2008年08月15日

    解析事件日志

    分类:

    Vista之前事件日志是.evt文件,Vista及之后是.evtx文件,Log Parser 2.2能在相应的系统上解析各自支持的格式,解析命令为:

    logparser -i:EVT "SELECT * INTO a.csv FROM b.evt"

     

    但如果在Vista之后系统上解析.evt格式日志可能会提示事件日志崩溃,这时需要将.evt格式转换为.evtx格式,幸运的是Vista及之后的系统提供了WevtutilWindows Events Command Line Utility这个工具,运行命令:wevtutil epl application.evt application.evtx /lf:true 就能转化。

     

    若需要更方便的使用该转化,可以把它加入右键菜单中

    Windows Registry Editor Version 5.00

     

    [HKCR\SystemFileAssociations\.evt\shell\ConvertToEvtx]

    @="Convert to evt&x"

     

    [HKCR\SystemFileAssociations\.evt\shell\ConvertToEvtx\command]

    @="\"wevtutil.exe\" epl \"%1\" \"%1x\" /lf:true"

    存为ConvertEvt.reg,双击导入系统注册表即可。

     

    关于Log parser的更多见Logparser论坛

    分享到:

    历史上的今天: