ReadEventLog返回PyEventLogRecords（wrapper over[MS.Docs]: _EVENTLOGRECORD structure），而EvtRender期望（您需要使用）PyHANDLEs（PyEVT\u HANDLEs（wrapper overEVT\u HANDLE（[MS.Docs]: Windows Event Log Data Types）更精确）。
因此，要获取XML数据，需要使用与此类型一起工作的函数族：例如EvtQuery，EvtNext。

代码.py：

#!/usr/bin/env python3

import sys
import pywintypes
import win32evtlog

INFINITE = 0xFFFFFFFF
EVTLOG_READ_BUF_LEN_MAX = 0x7FFFF


def get_record_data(eventlog_record):
    ret = dict()
    for key in dir(eventlog_record):
        if 'A' < key[0] < 'Z':
            ret[key] = getattr(eventlog_record, key)
    return ret


def get_eventlogs(source_name="Application", buf_size=EVTLOG_READ_BUF_LEN_MAX, backwards=True):
    ret = list()
    evt_log = win32evtlog.OpenEventLog(None, source_name)
    read_flags = win32evtlog.EVENTLOG_SEQUENTIAL_READ
    if backwards:
        read_flags |= win32evtlog.EVENTLOG_BACKWARDS_READ
    else:
        read_flags |= win32evtlog.EVENTLOG_FORWARDS_READ
    offset = 0
    eventlog_records = win32evtlog.ReadEventLog(evt_log, read_flags, offset, buf_size)
    while eventlog_records:
        ret.extend(eventlog_records)
        offset += len(eventlog_records)
        eventlog_records = win32evtlog.ReadEventLog(evt_log, read_flags, offset, buf_size)
    win32evtlog.CloseEventLog(evt_log)
    return ret


def get_events_xmls(channel_name="Application", events_batch_num=100, backwards=True):
    ret = list()
    flags = win32evtlog.EvtQueryChannelPath
    if backwards:
        flags |= win32evtlog.EvtQueryReverseDirection
    try:
        query_results = win32evtlog.EvtQuery(channel_name, flags, None, None)
    except pywintypes.error as e:
        print(e)
        return ret
    events = win32evtlog.EvtNext(query_results, events_batch_num, INFINITE, 0)
    while events:
        for event in events:
            ret.append(win32evtlog.EvtRender(event, win32evtlog.EvtRenderEventXml))
        events = win32evtlog.EvtNext(query_results, events_batch_num, INFINITE, 0)
    return ret


def main():
    import sys, os
    from collections import OrderedDict
    standard_log_names = ["Application", "System", "Security"]
    source_channel_dict = OrderedDict()

    for item in standard_log_names:
        source_channel_dict[item] = item

    for item in ["Windows Powershell"]: # !!! This works on my machine (96 events)
        source_channel_dict[item] = item

    for source, channel in source_channel_dict.items():
        print(source, channel)
        logs = get_eventlogs(source_name=source)
        xmls = get_events_xmls(channel_name=channel)
        #print("\n", get_record_data(logs[0]))
        #print(xmls[0])
        #print("\n", get_record_data(logs[-1]))
        #print(xmls[-1])
        print(len(logs))
        print(len(xmls))

if __name__ == "__main__":
    print("Python {:s} on {:s}\n".format(sys.version, sys.platform))
    main()

注意：

• 两个列表的长度应该相同。每个函数中的n^th项都应该引用相同的事件（只要两个函数对backward参数使用相同的值调用（read below）
• 获取事件：
  • 返回与事件关联的XMLblob的列表
  • 错误处理不是最好的，您可以将所有API调用包装在try/except子句中（我没有遇到错误，所以我不确定什么情况下会引发异常）
  • 您可以稍微使用[MS.Docs]: EvtNext function的参数（Timeout和EventsSize进行性能微调；对我来说，~20k事件在<；10秒内被处理，其中文本打印和转换占用最多）
  • 在Python 3中，XMLs是字节（[Python 3.Docs]: Built-in Types - classbytes([source[, encoding[, errors]]])）而不是普通字符串（我必须对它们进行编码，因为有些字符串包含一些非-ASCII字符，试图打印它们会引发unicodeerror）
  • 事件过滤是可能的，检查[MS.Docs]: EvtQuery function的参数（标志和查询）
  • 注意backward参数，该参数允许按相反（时间顺序）顺序遍历事件（默认设置为True）。
• 获取记录数据：
  • 这只是一个方便的函数，它将PyEventLogRecord对象转换为Python字典
  • 转换基于这样一个事实：我们关心的字段以大写字母开头（EventID，C计算机名，TimeGenerated，…），这就是为什么它不应该在生产中使用的原因
  • 它不转换实际值（TimeGenerated的值是pywintypes.datetime(2017, 3, 11, 3, 46, 47)）
• 获取事件日志：
  • 返回PyEventLogRecords的列表
  • 在get_events的情况下，注意向后参数
  • 我一定要坚持小尺寸的。作为[MS.Docs]: ReadEventLogW function状态，在获取事件时，可以使用max512K缓冲区。现在（从PyWin32version220开始），可以将它作为参数（最后一个）传递给win32evtlog.ReadEventLog。查看[SourceForge.hg]: mhammond/pywin32 - Add buffer size parameter for ReadEventLog (patch #143 from cristi fati)了解更多详细信息。默认情况下，存在一个限制，因此缓冲区大小硬编码为1K。由于每个ReadEventLog都在访问磁盘，使用新的缓冲区大小，我得到了10X的速度提高（对于~180K事件）
• 因为我将所有数据存储在2个列表中（而不是就地数据处理），所以我选择的是速度而不是内存消耗。对于~20K事件，这两个列表采用~30MB的RAM（现在我认为这已经足够了）

@EDIT0：我找不到使用Evt*函数系列获取所有必需信息的方法，因此我从两个来源获取信息（我增强了先前发布的脚本）：

@EDIT1：根据[MS.Docs]: OpenEventLogW function：

If you specify a custom log and it cannot be found, the event logging service opens the Application log; however, there will be no associated message or category string file.

[MS.Docs]: Eventlog Key列出了3个标准值。所以，这就是它打开应用程序日志的原因。我对脚本做了一些小改动来测试源代码。我不知道从哪里得到的nts来自。