Windows nabízí dva příkazy, které umožňují každému, kdo má administrátor povolení k exportu protokolů událostí Windows pomocí PowerShell. Proces je jednoduchý, ale lze jej provést několika způsoby pomocíGet-WinEventneboGet-EventLogCMDLETS, v závislosti na verzi Windows.

Jak exportovat protokoly událostí Windows pomocí PowerShell

Zde jsou tři příkazy, které mají extrahovat i protokoly pomocí PowerShell.

• Pomocí get-winevent
• Pomocí get-eventlog
• Použití Wevtutil pro RAW EVTX protokoly

Tyto příkazy můžete spustit na terminálu PowerShell nebo Windows.

1] Používání get-winevent

Export systému systému přímo do souboru .csv:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Zde systém logName znamená protokoly generované pro systém a exportuje ve formátu CSV.

Pokud chcete protokoly z posledních 24 hodin ve formátu .csv:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] pomocí get-eventlog

Export protokolu aplikace přímo do souboru TXT:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Zde aplikace LogName Application: Určuje. Výstup je uložen jako prostý textový soubor.

Číst:

3] Použití WevtuTiL pro RAW EVTX protokoly

Soubory EVTX jsouSoubory uložené ve formátu proprietárního .evtx používaného službou protokolu událostí Windows. Slouží jako úložiště pro nahrávání událostí (např. Systémové události, chyby aplikací, bezpečnostní audity) generované operačním systémem a nainstalované aplikace.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Zde EPL znamená exportní protokol. Výše uvedené příkazové výstupy zaznamenává v jejich surovém, nativním formátu EVTX. Nejlepší část generování souboru EVTX je, že jej můžete přímo otevřít v divákovi událostí.

Doufám, že to pomůže.

Jak otevírat soubory EVTX?

Soubory EVTX lze otevřít a analyzovat pomocí několika nástrojů. Nejběžnější metodou je prostřednictvím prohlížeče událostí, vestavěnou aplikaci Windows, která vám umožňuje prohlížet a interpretovat protokoly událostí. Chcete -li získat přístup, stiskněte Win + R, zadejteeventvwr, a otevřete možnost „Otevřené uložené protokol“ načtení externích souborů EVTX.

Číst:

Lze soubory EVTX převést na CSV?

Soubory EVTX lze převést na přístupnější formáty, jako je CSV nebo prostý text, pro snadnější analýzu. Můžete použítGet-WinEventCmdlet v PowerShell, aby extrahoval konkrétní data událostí a exportoval je do souboru CSV pomocí Winevent nebo nástrojů jakoEvtx2jsonneboLog Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Číst:.