如何通过Java读取到Windows系统日志evtx文件

近日公司有个需求，需要调研如何使用Java来读取Windows日志文件（类型：应用程序，安全，Setup，系统）

一番调研以后，在仅使用java的基础上系统日志文件似乎不太可能（就个人调研结果来看），再通过多渠道查询（百度、chargpt）,找到2个可能的实现的方案：

1、使用Java来调用C++方法

JNA（Java Native Access）是可以让Java调用C++生成的DLL（动态链接库），将C++中的方法，以Java接口的方式来实现。

注：该方法理论是是可行的，但编者没有实践。。。

2、使用第三方工具来实现，微软的日志分析工具-LogParser

2.1 实现思路：

在本地安装LogParser，Java代码通过调用本机命令行的方式，调用LogParser，然后把分析后的结果，以csv的方式输出到文件中（LogParser可选多种输出方式），然后java再读取csv文件内容即可拿到日志信息。

2.2 Java调用命令行的代码

try {
    String logParserPath = "D:\\Program Files (x86)\\Log Parser 2.2\\LogParser.exe";
    ProcessBuilder processBuilder = new ProcessBuilder(logParserPath, "-i:EVT", "-o:csv", "SELECT * INTO D:\\output.csv FROM D:\\Security.evtx");
    Process process = processBuilder.start();
    process.waitFor();
} catch (IOException | InterruptedException e) {
    e.printStackTrace();
}

其中：D:\output.csv 为存储输出结果的文件地址，D:\Security.evtx为日志文件

2.3、 关于LogParser的一些使用文档信息

2.3.1：Log Parser的日志可以通过SQL进行查询

sql字段：

 EventLog(S)       RecordNumber(I)   TimeGenerated(T)
 TimeWritten(T)    EventID(I)        EventType(I)
 EventTypeName(S)  EventCategory(I)  EventCategoryName(S)
 SourceName(S)     Strings(S)        ComputerName(S)
 SID(S)            Message(S)        Data(s)

S：String 数组

调用格式：

EXTRACT_TOKEN(EventTypeName, 0, '|') )
  EventTypeName:字段名
  0：顺序，从0开始
  |：分隔符

T：Time。时间类

I：intger。整数类

T和I二者都是直接调用：

  SELECT
    TO_DATE(TimeGenerated),
    RecordNumber,
    TO_UPPERCASE(EXTRACT_TOKEN(EventTypeName, 0, '|')), SourceName
  FROM System

字段解析：

RecordNumber：日志记录编号从0开始

TimeGenerated：事件生成时间

TimeWritten：事件记录时间

EventID：事件ID

EventType：事件类型

Strings：字符串数组，应该对应者日志中的EventData，每个事件包含的信息应该不一样



这里只罗列了一部分字段，还有其它字段大家按需了解使用即可。

写在最后：

• 此贴为编者自己记录所用，仅供参考
• 写的比较乱，如有笔误，请指正
• 未完待续