Microsoft Exchange を実行している Windows Server 2008 を使用しています。監査ログは evtx に保存されており、ログをサード パーティのコレクターにエクスポートしようとしています。私たちが使用したエージェント (Snare Epilog、その中のオープン ソース) は、evtx 形式を認識せず、収集サーバーに転送しません。
Powershell とタスク スケジューラを使用して回避策を実装しようとしています。私が直面している問題は、evtx にアクセスして .txt として保存できる一方で、毎回ログ全体を再解析していることです。ただし、5 分以内に新しいイベントのみを送信したいと考えています。
私が使用しているコードは次のとおりです。
$File = "C:\text.txt; Get-WinEvent -Path C:\test.evtx | Format-Table -AutoSize | Out-File $File -append -width 750
本当に助かりました!