Как собрать новые «Журналы приложений и служб» в Windows 7 или Windows Server 2008 с помощью WMI?

Question

В Windows Server 2008 и Windows 7 появились новые события, отнесенные к категории «Журналы приложений и служб».Существует также подпапка Microsoft, которая также имеет множество подпапок.

Есть ли способ собрать эти события через WMI?Для обычных «Журналов Windows», таких как «Приложение и безопасность», можно использовать класс WMI Win32_NTLogEvent в пространстве имен cimv2.Однако этот класс не предоставляет доступ к новым журналам событий Microsoft.

Есть идеи?

Answer 1

Я знаю, что это старый вопрос, но для любого, кто сталкивается с этим, это действительно возможно, вам просто нужно добавить ключ реестра в расположении ниже для журнала, который вы хотите запросить, т.е. Microsoft-Windows-PrintService / Admin или Microsoft-Windows-TaskScheduler / Operational в моем случае (обе части, с косой чертой) в расположении ниже.

Не отлично, но, по крайней мере, это что-то.

Благодарим McAffee (несколько результатов ниже в Google, но, надеюсь, некоторые люди могут преждевременно сдаться!)

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog \

https://kc.mcafee.com/corporate/index?page=content&id=KB81367

также связано с community.mcafee.com/thread/64301

снимок экрана

Answer 2

Исходя из недостатка ответов WMI, это может оказаться невозможным; возможно, вы могли бы подумать об использовании PowerShell или вызове утилиты командной строки wevtutil ?