используйте wmi для получения новейших событий журнала Windows

Question

Я хочу использовать WMI для мониторинга журнала событий Windows и получать новейшие события журнала каждые 15 минут. Хотя я могу использовать WQL для выполнения запроса, в нем нет таких ключевых слов, как order by. Есть идеи, как обойти эту проблему?

Answer 1

вы можете использовать набор данных. Ниже делается с помощью vbscript и только на полях ComputerName, EventCode и Message. Добавьте другие поля по желанию

Const adVarChar = 200
Const MaxCharacters = 1024
Const adFldIsNullable = 32
Set DataList = CreateObject("ADOR.Recordset")
DataList.Fields.Append "ComputerName", adVarChar, MaxCharacters,adFldIsNullable
DataList.Fields.Append "EventCode", adVarChar, MaxCharacters,adFldIsNullable
DataList.Fields.Append "Message",adVarChar,MaxCharacters,adFldIsNullable
DataList.Open
strComputer = "."
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colLoggedEvents = objWMIService.ExecQuery("Select * from Win32_NTLogEvent Where Logfile = 'Application'")
For Each evt in colLoggedEvents
 DataList.AddNew
 DataList("ComputerName") = evt.ComputerName
 DataList("EventCode") = evt.EventCode
 DataList("Message") = evt.Message
 DataList.Update
Next
'sort by eventcode
DataList..Sort = "EventCode DESC"
DataList.MoveFirst
Do Until DataList.EOF
 Wscript.Echo DataList.Fields.Item("ComputerName") & vbTab & DataList.Fields.Item("EventCode") & vbTab & DataList.Fields.Item("Message")
DataList.MoveNext
Loop