Question

我正在尝试调试使用splunk转发器获取转发的Windows事件但最多需要30分钟才能通过系统的问题。

我可以生成一个唯一的事件，并希望确定它何时命中转发的事件日志。我可以运行get-winevent并以这种方式查找它，但事件文件非常大，可能需要很长时间才能解析。我想要的是观察事件日志流等待我的输入。

有什么想法吗？

Answer 1

然而，或许并不完全符合你的需要：

    #function fun {
    $s = { 


    $now = Get-Date
    $yesterday = $now.AddDays(-1)

    $rh = Read-Host "Today -- Yesterday"
    if ($rh -like "Today") {

    Get-WinEvent -LogName "System" | ? {$_.TimeCreated.ToString().Split(" ")[0] -like $now.ToString().Split(" ")[0] } 
    $rerun = read-host "Rerun Script?"
    if ($rerun -eq "Y"){&$s}
    }

    if ($rh -like "Yesterday") {

    Get-WinEvent -LogName "System" | ? {$_.TimeCreated.ToString().Split(" ")[0] -like $yesterday.ToString().Split(" ")[0] } 
$rerun = read-host "Rerun Script?"    
if ($rerun -eq "Y"){&$s}
    }

    else {}
    }
    &$s
    #}fun

如果你在＆＃34;重新运行脚本之后按Y？＆＃34; programm将返回开始

监视forwardedEvents窗口日志

1 个答案: