<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Zak, I know you just worked on the Windows Event log handling. I have a few issues that may need some documentation guidance, or an enhancement. Basically, I'm trying to get Windows Defender log entries. We will be migrating from a commercial anti-virus platform to using the Defender and need to have alerting.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Most important to me is that it appears that only the top-level logs listed in EventLogSummary can be parsed (example at end). As a test, I included the Windows PowerShell log in the clientconfig.cfg file.<br></div><div class="gmail_default"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">eventlogswanted:Windows PowerShell,system:7500:Warning,Critical,Error</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">It took some experimentation with/without quotes as the code calls "Get-WinEvent -FilterXML $logFilterXML" and the QueryList uses -Path which states in Help file examples to use quotes if log file name has spaces. I found that the query creates double quotes as illustrated in excerpt below.</div><div class="gmail_default"><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif"><start Help file></font></div><div class="gmail_default"><font face="verdana, sans-serif">    -------------------------- EXAMPLE 11 --------------------------</font></div><div class="gmail_default"><font face="verdana, sans-serif">    PS C:\>Get-WinEvent -Path 'c:\ps-test\Windows PowerShell.evtx'</font></div><div class="gmail_default"><font face="verdana, sans-serif">    </font></div><div class="gmail_default"><font face="verdana, sans-serif">    This command gets events from a copy of the Windows PowerShell event log file in a test directory. The path is enclosed in quotation marks because the log name includes a space.</font></div></div><div style="font-family:verdana,sans-serif;font-size:small"><end help file></div></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">2019-02-28 11:28:56  Processing event log Windows PowerShell</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">2019-02-28 11:28:56  Log filter     <QueryList></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">      <Query Id="0" Path="Windows PowerShell"></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        <Select Path="Windows PowerShell">*[System[TimeCreated[timediff(@SystemTime) &lt;= 3600000] and (Level=3 or Level=1 or Level=2)]]</Select></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">      </Query></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">    </QueryList></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">My 2 issues: "-Path" parameter should be the actual path to log file per Help, but the QueryList appears to be using LogName format with name of log not path, is that correct?</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">And actually, I am trying to get the entries in the Windows Defender log file which is at "%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx" by -Path or "Microsoft-Windows-Windows Defender/Operational" by -LogName.</div><div class="gmail_default"><font face="verdana, sans-serif"><br class="gmail-Apple-interchange-newline">eventlogswanted:Windows PowerShell,system,Microsoft-Windows-Windows Defender/Operational:7500:Warning,Critical,Error</font><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">I don't think the QueryList can handle the /Operational slash. The entry is ignored and no QueryList appears in log. Xymon can read the log; if I manually edit the $logenries I get the Defender entries in the client file.</div><div class="gmail_default"><font face="verdana, sans-serif">                    $logentries = @(get-winevent -logname "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 50)</font><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">I also have a question about the Max payload value ($maxpayloadlength) and how it is handled. Is that for the total of all the log files together, or per each log? If total, then a chatty log would prevent any entries in the other logs from being reported on? I would rather have most recent from each, and the value be 'per log'.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><div class="gmail_default">Lastly as an aside, in the client data file there are two Event Log Summary sections that appear to be redundant. Is there a purpose for one vs. the other? We do have the Summary show under msgs column data.</div><div class="gmail_default"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">[EventlogSummary]</font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">Max(K) Retain OverflowAction    Entries Log                                 </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">------ ------ --------------    ------- ---                                 </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  10,046 Application                         </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">20,480      0 OverwriteAsNeeded       0 HardwareEvents                      </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">   512      7 OverwriteOlder          0 Internet Explorer                   </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">20,480      0 OverwriteAsNeeded       0 Key Management Service              </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">15,168      7 OverwriteOlder          2 Microsoft-ServerManagementExperience</font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  10,183 Security                            </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  45,885 System                              </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">15,360      0 OverwriteAsNeeded   3,421 Windows PowerShell                  </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">[msgs:EventlogSummary]</font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">Max(K) Retain OverflowAction    Entries Log                                 </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">------ ------ --------------    ------- ---                                 </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  10,046 Application                         </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">20,480      0 OverwriteAsNeeded       0 HardwareEvents                      </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">   512      7 OverwriteOlder          0 Internet Explorer                   </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">20,480      0 OverwriteAsNeeded       0 Key Management Service              </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">15,168      7 OverwriteOlder          2 Microsoft-ServerManagementExperience</font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  10,183 Security                            </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">16,384      0 OverwriteAsNeeded  45,885 System                              </font></div><div class="gmail_default" style="font-family:Arial,Helvetica,sans-serif"><font face="verdana, sans-serif">15,360      0 OverwriteAsNeeded   3,421 Windows PowerShell                  </font></div><br class="gmail-Apple-interchange-newline"></div></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Thanks for your continuing support of a valuable tool! I'll keep playing with it, and post an update if I get a version working.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Tim Williams</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">VCU Computer Center</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div></div></div></div></div></div></div></div></div></div></div></div>