我负责解析转发的 EventViewer (evt) 日志（Windows 7？）。为此，我使用 Log Parser 2.2 对日志运行查询，并提取特定的 EventID 并将它们写入 CSV 文件。但是，我正在考虑使用EventViewerReader来代替。

我在这些 evt 上所做的查询包括一个“字符串”列，它输出一堆通常格式为：SID |用户名|用户组|...但它不一致的垃圾。我想要的是一种一致的方式来获取这些事件的用户名并过滤掉无用的数据。问题是我不明白输出的格式。我想知道这些事件是否具有标准格式，或者这是我工作中的自定义格式？我现在使用的方法基本上是查找已知用户组并检查它们左侧的潜在用户名（跳过“LOCALS SERVICE”、“NETWORK SERVICE”、“-”和其他一些关键字）。我对这种方法的问题是我不知道所有的用户组，而且我可能会误报用户名。

以下是我正在查看的一些EventID 代码：https : //www.ultimatewindowssecurity.com/securitylog/quickref/downloads/quickref.zip

4624    An account was successfully logged on

4625    An account failed to log on

4647    User initiated logoff

4648    A logon was attempted using explicit credentials

4800    The workstation was locked

4801    The workstation was unlocked

4802    The screen saver was invoked

4803    The screen saver was dismissed