So exportieren Sie Windows-Ereignisprotokolle mit PowerShell

Windows bietet zwei Befehle, mit denen jeder mit Administratorrechten Windows-Ereignisprotokolle mithilfe von PowerShell exportieren kann. Der Vorgang ist unkompliziert, kann aber mit dem auf verschiedene Arten durchgeführt werdenGet-WinEventoderGet-EventLogCmdlets, abhängig von der Windows-Version.

So exportieren Sie Windows-Ereignisprotokolle mit PowerShell

Hier sind die drei Befehle zum Extrahieren von Even-Protokollen mit PowerShell.

  • Verwenden von Get-WinEvent
  • Verwenden von Get-EventLog
  • Verwendung von wevtutil für Raw-EVTX-Protokolle

Sie können diese Befehle auf PowerShell oder Windows Terminal ausführen.

1] Get-WinEvent verwenden

Exportieren des Systemprotokolls direkt in eine CSV-Datei:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Hier bedeutet „LogName System“ für das System generierte Protokolle, die im CSV-Format exportiert werden.

Wenn Sie Protokolle der letzten 24 Stunden im CSV-Format wünschen:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Verwenden von Get-EventLog

Exportieren des Anwendungsprotokolls direkt in eine TXT-Datei:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Hier LogName Application: Gibt die an. Die Ausgabe wird als reine Textdatei gespeichert.

Lesen:

3] Verwendung von wevtutil für Raw-EVTX-Protokolle

EVTX-Dateien sindDateien, die im proprietären .evtx-Format gespeichert sind, das vom Windows-Ereignisprotokolldienst verwendet wird. Sie dienen als Repository für die Aufzeichnung von Ereignissen (z. B. Systemereignisse, Anwendungsfehler, Sicherheitsüberprüfungen), die vom Betriebssystem und installierten Anwendungen generiert werden.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Hier steht EPL für Export Log. Der obige Befehl gibt Protokolle in ihrem rohen, nativen EVTX-Format aus. Das Beste an der Generierung einer EVTX-Datei ist, dass Sie sie direkt in der Ereignisanzeige öffnen können.

Ich hoffe, das hilft.

Wie öffnet man EVTX-Dateien?

EVTX-Dateien können mit mehreren Tools geöffnet und analysiert werden. Die gebräuchlichste Methode ist die Ereignisanzeige, eine integrierte Windows-Anwendung, mit der Sie die Ereignisprotokolle anzeigen und interpretieren können. Um darauf zuzugreifen, drücken Sie Win + R und geben Sie eineventvwrund öffnen Sie die Option „Gespeichertes Protokoll öffnen“, um externe EVTX-Dateien zu laden.

Lesen:

Können EVTX-Dateien in CSV konvertiert werden?

EVTX-Dateien können zur einfacheren Analyse in besser zugängliche Formate wie CSV oder Nur-Text konvertiert werden. Sie können die verwendenGet-WinEventCmdlet in PowerShell, um bestimmte Ereignisdaten zu extrahieren und sie mit WinEvent oder ähnlichen Tools in eine CSV-Datei zu exportierenEvtx2JsonoderProtokollparser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Lesen:.

Related Posts