#定义etl文件$etlFile='test.etl'
#正在检索内容$log=获取WinEvent-路径$etlFile-最旧的
有没有其他方法可以解析.etl文件来读取etw事件?
没有用于使用PowerShell读取etl文件的内置命令,但在windows\system32中调用tracerpt.exe将etl文件转换为xml(该文件始终称为dumpfile.xml(似乎是一个简单的解决方案:
tracerpt.exe .WindowsUpdate.20220813.100210.641.1.etl -lr
([Xml](Get-Content .dumpfile.xml)).Events
([Xml](Get-Content .dumpfile.xml)).Events.Event
([Xml](Get-Content .dumpfile.xml)).Events.Event.EventData
([Xml](Get-Content .dumpfile.xml)).Events.Event.EventData.Data
etc.
另请参阅在powershell中使用traceprt将ETL转换为XML,参数中的破折号和空格问题