我有一个运行MicroSoft Exchange的Windows Server 2008。审核日志存储在evtx中，我正在尝试将日志导出到第三方收集器。我们使用的代理(Snare Epilog，其中的开源)无法识别evtx格式，也不会将其转发到收集服务器。

我正在尝试通过Powershell和Task Scheduler实现解决方法。我面临的问题是，尽管我可以访问evtx并将其另存为.txt，但每次都在重新解析整个日志。但是，我只希望每5分钟或更短的时间发送一次新事件。

我正在使用的代码是这样的:

$File = "C:\text.txt; Get-WinEvent -Path C:\test.evtx | Format-Table -AutoSize | Out-File $File -append -width 750

您可以使用Get-EventLog而不是Get-WinEvent，然后使用After参数仅获取事件的最后五分钟，或者更好地跟踪您所看到的最新事件消息。

这是获取应用程序日志的最后五分钟的方法。

Get-EventLog -LogName Application -After $((Get-Date).AddMinutes(-5))