L'hôte est situé dans le fuseau horaire EDT. Les journaux d'événements sont enregistrés en utilisant l'heure EDT. Les journaux IIS sont enregistrés en utilisant l'UTC, et je ne suis pas sûr de la construction du logparser qui permet de prendre en compte l'UTC.
Par exemple, Windows événement Les journaux, enregistrés en heure locale, les entrées enregistrées au cours des 20 dernières minutes peuvent être récupérées avec :
>logparser "SELECT * FROM Application WHERE TimeGenerated >= TO_LOCALTIME( SUB( SYSTEM_TIMESTAMP(), TIMESTAMP( '20', 'mm' ) ) )"
Comment récupérer les entrées de journal au format IISW3C enregistrées au cours des 3 dernières minutes ?
Après un examen plus approfondi, j'ai trouvé cet exemple dans l'entrée d'aide de SYSTEM_TIME ( ), à savoir Récupérer les entrées du journal IIS enregistrées dans l'heure en cours :
logparser -i:IISW3C "SELECT * FROM <1> WHERE date = SYSTEM_DATE() AND time >= QUANTIZE( SYSTEM_TIME(), 3600 )" -o:NAT
Cette tentative actuelle récupère les 180 dernières secondes (je pense ?), j'essaie toujours de comprendre...;-)
logparser -i:IISW3C "SELECT Time, Date, cs-uri-stem FROM <1> WHERE date = SYSTEM_DATE() AND time >= QUANTIZE( SYSTEM_TIME(), 180 )" -RTP:-1
D'autres suggestions ou approches que vous pouvez recommander ?