人気ブログランキング | 話題のタグを見る
EVT形式のイベントログをEVTX形式に変換
(Windows)ログオン・ログアウトをイベントログから解析する でイベントログを解析するLog Parser というツールを紹介しました。

WindowVistaやServer2008以降はイベントログの形式が evtx に変わっています。

WindowVistaやServer2008以降で、LogParserをインストールして解析したところ、うまくいきました。
インポートのフォーマットも -i:EVT でOKです。

しかし、XPやServer2003以前では LogParser で evtx のログは解析できません。
(解析かけると「<from-entity> を開けません。: イベントログ "C:\hoge.evt" を開く際にエラーが発生しました。: イベント ログ ファイルが壊れています。」と怒られます)


WindowVistaやServer2008以降でも LogParser で EVT ファイルは解析できないようです。
なので、WindowVistaやServer2008以降で EVT ファイルを解析する場合は、一端 EVT を EVTX に変換してやる必要があります。

EVT から EVTX への変換は wevtutil というコマンドを使うと可能なようです。

wevtutil epl e:\hoge_old.evt e:\hoge_new.evtx /lf:true


すると、hoge_new.evtx というevtx形式ののイベントログが出来上がります。

あとはこれをLogParserにかけてやればいいわけですね。


参考:
イベントログを SQL Server に入れて分析する
Tip o' the Week: WEVTUTIL for EVTX/EVT file conversion
by Jehoshaphat | 2012-04-19 00:13 | 豆知識


<< GoogleChromeで拡張... SunRayで誰かが動画再生す... >>