问作为二进制存储的文件的get-winevent输出。

EN

我正在使用将evtx日志转换为.json文件。那我就把它送给麋鹿了。

Get-WinEvent -Path .\log.evtx | ConvertTo-Json|Format-List | Out-File log.json

该文件看起来像一个普通的字符串，包含windows上的文件。但是当我把它带到linux时，它包含二进制数据，不能被解析为ELK。

​

即使我用了超字符串，也没什么变化。

$result = Get-WinEvent -Path .\user-creation-1log.evtx | ConvertTo-Json| Format-List

$result | Out-String | out-file log.json

这也像linux中的二进制文件。(虽然我记得export-csv使用get-winevent创建了完整的文本文件，但这使得格式化非常糟糕的csv文件变得非常糟糕)。我真的很喜欢转换到- json的方式，并且对json数据进行了格式化和估值，并且我更喜欢它。(如果有人可以提供一种不同的方式将evtx数据最充分的形式转换为json，那么很乐意接受)。

我尝试过evtx2csv python模块，但这并不会将输出写入文件。