O utilitário do Windows wevtutil pode fazer exatamente o que você está procurando. Eu estava usando para arquivar certas entradas de log de eventos em um banco de dados. Os métodos baseados em powershell tinham vários modos de falha que inviabilizavam um grande número de eventos. Esse utilitário despeja tudo de uma vez, o que torna a análise off-line muito mais rápida.
wevtutil qe Security /r:DC01 /q:"*[System[((EventID=307))]]" > evtdump.xml
Especificamente, os métodos do PowerShell executam eventos em uma base de varejo. Enquanto ele percorre o loop, ele pede à máquina de destino "que me dê o próximo evento", que exige muita movimentação da máquina. A diferença de velocidade entre o método wevutil e o método powershell foi significativa: demorou mais de uma hora para extrair um log de eventos via powershell, mas apenas 2 minutos via wevtutil.
Depende do seu caso de uso. Se os logs que você está analisando não estiverem ocupados ou não forem muito grandes, o método powershell significa que você não precisa gerenciar os arquivos como parte do seu script.