ParseEvtx
描述:
解析一个Windows事件日志文件(evtx)内容,并输出XML格式的结果到输出数据流中
标签:
logs, windows, event, evtx, message, file, 日志, 事件, 消息, 文件
参数:
如下列表中,必填参数则标识为加粗. 其他未加粗参数,则表示为可选参数。表中同时提到参数默认值设置.
| 名字 | 默认值 | 允许值列表 | 描述 |
|---|---|---|---|
| 粒度 | 块 | - 记录 - 块 - 文件 | 事件日志中可按每个记录,块或文件进行输出 |
连线:
| 名字 | 描述 |
|---|---|
| success | 成功将evtx转换为XML的数据输出到此成功连线 |
| failure | 在进行数据的最大限度转换时,当发生转换异常后输出数据到此失败连线 |
| original | 输入数据流将原样输出到该原始连线 |
| bad chunk | 任何坏记录块都将以原始二进制形式传输到此坏块连线。 |
读取属性:
| 名字 | 描述 |
|---|---|
| filename | evtx文件名 |
写入属性:
| 名字 | 描述 |
|---|---|
| filename | 输出文件名 |
| mime.type | 输出文件类型 (如果成功或失败连线,则是application/xml,如果是坏块或原始连线,则将保留原始值) |
状态管理:
该组件不保存状态。
限制:
该组件没有限制
输入流要求:
组件必须提供输入流。
系统资源考量:
未提供。