是否有任何方法可以将事件查看器日志保存到.txt文件。我尝试进入事件查看器属性并更改dir和.txt。
但是打开.txt时似乎已加密。想要纯文本,以便我可以发送到splunk并设置仪表板。
谢谢
.evtx
文件是事件查看器日志文件的二进制表示。由于Microsoft编写这些文件的方式,它依赖于生成这些文件的服务器的DLL,因此这些文件只能在同一台计算机上打开,或者至少可以非常相似地配置。
Splunk应该能够通过使用常规监视器输入来打开这些文件。不要设置来源类型,因为它会被自动提取。
或者,您可能在https://github.com/vavarachen/evtx2json上有些运气