監視ForwardedEvents窗口日誌

Question

我想調試一個問題，其中使用splunk轉發器接收轉發的Windows事件，但需要花費三十分鐘才能通過系統。

我可以生成一個唯一的事件，並希望確定它何時擊中轉發的事件日誌。我可以運行get-winevent並以這種方式尋找它，但是事件文件太大以至於需要很長時間才能解析。我想要的是觀看事件日誌流等待我的輸入。

任何想法？

Answer 1

也許並不完全符合你的需要，但是：

#function fun { 
    $s = { 


    $now = Get-Date 
    $yesterday = $now.AddDays(-1) 

    $rh = Read-Host "Today -- Yesterday" 
    if ($rh -like "Today") { 

    Get-WinEvent -LogName "System" | ? {$_.TimeCreated.ToString().Split(" ")[0] -like $now.ToString().Split(" ")[0] } 
    $rerun = read-host "Rerun Script?" 
    if ($rerun -eq "Y"){&$s} 
    } 

    if ($rh -like "Yesterday") { 

    Get-WinEvent -LogName "System" | ? {$_.TimeCreated.ToString().Split(" ")[0] -like $yesterday.ToString().Split(" ")[0] } 
$rerun = read-host "Rerun Script?"  
if ($rerun -eq "Y"){&$s} 
    } 

    else {} 
    } 
    &$s 
    #}fun 

如果您之後按Y 「重新運行腳本？」程序將返回開始