Windows bietet zwei Befehle, mit denen jeder mit Administratorrechten Windows-Ereignisprotokolle mithilfe von PowerShell exportieren kann. Der Vorgang ist unkompliziert, kann aber mit dem auf verschiedene Arten durchgeführt werdenGet-WinEvent
oderGet-EventLog
Cmdlets, abhängig von der Windows-Version.
So exportieren Sie Windows-Ereignisprotokolle mit PowerShell
Hier sind die drei Befehle zum Extrahieren von Even-Protokollen mit PowerShell.
- Verwenden von Get-WinEvent
- Verwenden von Get-EventLog
- Verwendung von wevtutil für Raw-EVTX-Protokolle
Sie können diese Befehle auf PowerShell oder Windows Terminal ausführen.
1] Get-WinEvent verwenden
Exportieren des Systemprotokolls direkt in eine CSV-Datei:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Hier bedeutet „LogName System“ für das System generierte Protokolle, die im CSV-Format exportiert werden.
Wenn Sie Protokolle der letzten 24 Stunden im CSV-Format wünschen:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Verwenden von Get-EventLog
Exportieren des Anwendungsprotokolls direkt in eine TXT-Datei:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Hier LogName Application: Gibt die an. Die Ausgabe wird als reine Textdatei gespeichert.
Lesen:
3] Verwendung von wevtutil für Raw-EVTX-Protokolle
EVTX-Dateien sindDateien, die im proprietären .evtx-Format gespeichert sind, das vom Windows-Ereignisprotokolldienst verwendet wird. Sie dienen als Repository für die Aufzeichnung von Ereignissen (z. B. Systemereignisse, Anwendungsfehler, Sicherheitsüberprüfungen), die vom Betriebssystem und installierten Anwendungen generiert werden.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Hier steht EPL für Export Log. Der obige Befehl gibt Protokolle in ihrem rohen, nativen EVTX-Format aus. Das Beste an der Generierung einer EVTX-Datei ist, dass Sie sie direkt in der Ereignisanzeige öffnen können.
Ich hoffe, das hilft.
Wie öffnet man EVTX-Dateien?
EVTX-Dateien können mit mehreren Tools geöffnet und analysiert werden. Die gebräuchlichste Methode ist die Ereignisanzeige, eine integrierte Windows-Anwendung, mit der Sie die Ereignisprotokolle anzeigen und interpretieren können. Um darauf zuzugreifen, drücken Sie Win + R und geben Sie eineventvwrund öffnen Sie die Option „Gespeichertes Protokoll öffnen“, um externe EVTX-Dateien zu laden.
Lesen:
Können EVTX-Dateien in CSV konvertiert werden?
EVTX-Dateien können zur einfacheren Analyse in besser zugängliche Formate wie CSV oder Nur-Text konvertiert werden. Sie können die verwendenGet-WinEvent
Cmdlet in PowerShell, um bestimmte Ereignisdaten zu extrahieren und sie mit WinEvent oder ähnlichen Tools in eine CSV-Datei zu exportierenEvtx2JsonoderProtokollparser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lesen:.