我正在使用sysmon来捕获大量的事件信息(网络连接、DLL加载等)。我想提取这些信息并将其用于各种目的,但似乎没有任何方法可以检索嵌套日志。它们位于
Event Viewer/Applications and Services/Microsoft/Windows/Sysmon/Operational
我尝试过的所有代码都只能获取“标准”事件日志。例如:
EventLog[] eventLogs = EventLog.GetEventLogs();
拥有“应用程序”,“硬件事件”,“Internet Explorer”等。
我知道如何创建和检索自定义事件日志,但似乎不适用于此处,因为这些日志不在标准位置。非常感谢您能提供的任何帮助!
System.Diagnostics.Eventing.Reader命名空间,它有更丰富的 API 用于获取事件日志。EventLogSession.GetLogNames返回的日志列表比EventLog.GetEventLogs更大。 - Mike Zboray