Windows nabízí dva příkazy, které umožňují komukoli s oprávněním správce exportovat protokoly událostí Windows pomocí PowerShellu. Proces je přímočarý, ale lze jej provést několika způsoby pomocíGet-WinEventneboGet-EventLogrutiny v závislosti na verzi systému Windows.
Jak exportovat protokoly událostí Windows pomocí PowerShellu
Zde jsou tři příkazy pro extrahování protokolů Even pomocí PowerShellu.
- Pomocí Get-WinEvent
- Pomocí Get-EventLog
- Použití wevtutil pro Raw EVTX Logs
Tyto příkazy můžete spustit v prostředí PowerShell nebo Windows Terminal.
1] Pomocí Get-WinEvent
Export systémového protokolu přímo do souboru .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
LogName System zde znamená logy generované pro System a exportuje se ve formátu CSV.
Pokud chcete protokoly za posledních 24 hodin ve formátu .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Pomocí Get-EventLog
Export protokolu aplikace přímo do souboru txt:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Zde Aplikace LogName: Určuje. Výstup se uloží jako prostý textový soubor.
Číst:
3] Použití wevtutil pro Raw EVTX Logs
Soubory EVTX jsousoubory uložené v proprietárním formátu .evtx používaném službou Protokol událostí systému Windows. Slouží jako úložiště pro záznam událostí (např. systémové události, chyby aplikací, bezpečnostní audity) generované operačním systémem a nainstalovanými aplikacemi.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Zde EPL znamená Export log. Výše uvedený příkaz Výstupy protokoly v jejich nezpracovaném, nativním formátu EVTX. Nejlepší na generování souboru EVTX je to, že jej můžete přímo otevřít v prohlížeči událostí.
Doufám, že to pomůže.
Jak otevřít soubory EVTX?
Soubory EVTX lze otevřít a analyzovat pomocí několika nástrojů. Nejběžnější metodou je Prohlížeč událostí, vestavěná aplikace systému Windows, která umožňuje prohlížet a interpretovat protokoly událostí. Pro přístup k němu stiskněte Win + R, zadejteeventvwra otevřete možnost „Otevřít uložený protokol“ pro načtení externích souborů EVTX.
Číst:
Lze soubory EVTX převést na CSV?
Soubory EVTX lze pro snadnější analýzu převést do přístupnějších formátů, jako je CSV nebo prostý text. Můžete použítGet-WinEventcmdlet v prostředí PowerShell k extrahování konkrétních dat událostí a jejich exportu do souboru CSV pomocí WinEvent nebo nástrojů jakoEvtx2JsonneboLog Parser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Číst:.
![Copilot říká Vypadá to, že jste byli odhlášeni [Opravit]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/11/It-looks-youve-been-signed-out.png)
![Auth Read ECONNRESET Copilot Error [Oprava]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/12/error-econnreset-copilot.jpg)
![[NOVINKA] Jak opravit nefunkčnost PGSharp](https://elsefix.com/statics/image/placeholder.png)
