Quantcast
Viewing all articles
Browse latest Browse all 47296

Why am I unable to parse offline windows event logs using Add data via Splunk Web?

April 22, 2019, 11:31 pm
$
0
0
OS version : Windows 10 1. We want upload a saved windows event logs file (.evtx) to Splunk. Splunk assigned "Preprocess-winevt" source type at the 2. step (Set Source Type) of "Add Data" procedure. The log was shown not parsed properly. We are not sure how to proceed. While there is not error reading the input definition, the log was not parsed successfully. The raw event is read as follows. ElfFile\x00\x00\x00\x00\x00\x00\x00\x00\x00,\x00\x00\x00\x00\x00\x00\xE0\xFF\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00-\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xA7U\x00\x00\x00\x00\x00\x00\x00....
Search
Viewing all articles
Browse latest Browse all 47296
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>