3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

EVT形式のイベントログをEVTX形式に変換

豆知識

(Windows)ログオン・ログアウトをイベントログから解析する でイベントログを解析するLog Parser というツールを紹介しました。

WindowVistaやServer2008以降はイベントログの形式が evtx に変わっています。

WindowVistaやServer2008以降で、LogParserをインストールして解析したところ、うまくいきました。

インポートのフォーマットも -i:EVT でOKです。

しかし、XPやServer2003以前では LogParser で evtx のログは解析できません。

(解析かけると「 を開けません。: イベントログ "C:\hoge.evt" を開く際にエラーが発生しました。: イベント ログ ファイルが壊れています。」と怒られます)

WindowVistaやServer2008以降でも LogParser で EVT ファイルは解析できないようです。

なので、WindowVistaやServer2008以降で EVT ファイルを解析する場合は、一端 EVT を EVTX に変換してやる必要があります。

EVT から EVTX への変換は wevtutil というコマンドを使うと可能なようです。



wevtutil epl e:\hoge_old.evt e:\hoge_new.evtx /lf:true

すると、hoge_new.evtx というevtx形式ののイベントログが出来上がります。

あとはこれをLogParserにかけてやればいいわけですね。

参考:

イベントログを SQL Server に入れて分析する

Tip o' the Week: WEVTUTIL for EVTX/EVT file conversion