Wevtutil只輸出新的事件日誌

Question

我運行命令wevtutil qe Application /rd:false /f:text，我得到如下所示的輸出。經過一段時間後，新的事件日誌可能已經生成，我只想讀取這些新的事件日誌，即事件[2]，事件[3]，事件[4]等。

如何使用wevtutil工具來生成只有這些新事件日誌？

事件[0]：

• 登錄名稱：應用程序
• 來源：Microsoft-Windows的LoadPerf
• 日期：2016-04-21T23：15：16.832
• 事件ID：1000
• 任務：N/A
• 級別：信息
• 操作碼：信息
• 關鍵字：N/A
• 用戶：S-1-5-18
• 用戶名：NT AUTHORITY \ SYSTEM
• 計算機：WIN-IONOGQTF9O5
• 描述： 的性能計數器WmiApRpl（WmiApRpl ）服務已成功加載。數據部分中的記錄數據包含分配給此服務的新索引值。

事件[1]：

• 登錄名稱：應用程序
• 來源：Microsoft-Windows的LoadPerf
• 日期：日期：2016-04-21T23：15：13.097
• 事件ID：3011
• 任務：N/A
• 級別：信息
• 操作碼：信息
• 關鍵字：N/A
• 用戶：S-1-5-18
• 用戶名：NT AUTHORITY \ SYSTEM
• 計算機：WIN-IONOGQTF9O5
• 說明： 的卸載性能計數器字符串服務WmiApRpl（WmiApRpl）失敗。數據部分中的第一個DWORD包含錯誤代碼。

Answer 1

weventil不是PowerShell，所以我誤導了。但是，您可以這樣做：

Get-EventLog -LogName Application -Newest -After (Get-Date).AddDays(-1)