Τα Windows προσφέρουν δύο εντολές που επιτρέπουν σε οποιονδήποτε έχει άδεια διαχειριστή να εξάγει αρχεία καταγραφής συμβάντων των Windows χρησιμοποιώντας το PowerShell. Η διαδικασία είναι απλή, αλλά μπορεί να γίνει με πολλούς τρόπους χρησιμοποιώντας τοGet-WinEventήGet-EventLogcmdlet, ανάλογα με την έκδοση των Windows.
Τρόπος εξαγωγής αρχείων καταγραφής συμβάντων των Windows με το PowerShell
Ακολουθούν οι τρεις εντολές για να εξαγάγετε ακόμη αρχεία καταγραφής χρησιμοποιώντας το PowerShell.
- Χρήση Get-WinEvent
- Χρησιμοποιώντας το Get-EventLog
- Χρήση wevtutil για ακατέργαστα αρχεία καταγραφής EVTX
Μπορείτε να εκτελέσετε αυτές τις εντολές στο PowerShell ή στο Windows Terminal.
1] Χρήση Get-WinEvent
Εξαγωγή του αρχείου καταγραφής συστήματος απευθείας σε αρχείο .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Εδώ το LogName System σημαίνει αρχεία καταγραφής που δημιουργούνται για το σύστημα και εξάγονται σε μορφή CSV.
Εάν θέλετε αρχεία καταγραφής από τις τελευταίες 24 ώρες σε μορφή .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Χρήση Get-EventLog
Εξαγωγή του αρχείου καταγραφής εφαρμογής απευθείας σε αρχείο txt:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Εδώ LogName Application: Καθορίζει το. Η έξοδος αποθηκεύεται ως αρχείο απλού κειμένου.
Ανάγνωση:
3] Χρήση wevtutil για ακατέργαστα αρχεία καταγραφής EVTX
Τα αρχεία EVTX είναιαρχεία που είναι αποθηκευμένα στην ιδιόκτητη μορφή .evtx που χρησιμοποιείται από την υπηρεσία αρχείου καταγραφής συμβάντων των Windows. Λειτουργούν ως χώρος αποθήκευσης για την καταγραφή συμβάντων (π.χ. συμβάντα συστήματος, σφάλματα εφαρμογών, έλεγχοι ασφαλείας) που δημιουργούνται από το λειτουργικό σύστημα και τις εγκατεστημένες εφαρμογές.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Εδώ, το EPL σημαίνει Εξαγωγή αρχείου καταγραφής. Η παραπάνω εντολή Έξοδοι καταγράφεται στην ακατέργαστη, εγγενή μορφή EVTX. Το καλύτερο μέρος της δημιουργίας ενός αρχείου EVTX είναι ότι μπορείτε να το ανοίξετε απευθείας στο πρόγραμμα προβολής συμβάντων.
Ελπίζω αυτό να βοηθήσει.
Πώς να ανοίξετε αρχεία EVTX;
Τα αρχεία EVTX μπορούν να ανοίξουν και να αναλυθούν χρησιμοποιώντας διάφορα εργαλεία. Η πιο κοινή μέθοδος είναι μέσω του Event Viewer, μιας ενσωματωμένης εφαρμογής των Windows που σας επιτρέπει να προβάλλετε και να ερμηνεύετε τα αρχεία καταγραφής συμβάντων. Για πρόσβαση σε αυτό, πατήστε Win + R, πληκτρολογήστεeventvwr, και ανοίξτε την επιλογή «Άνοιγμα αποθηκευμένου αρχείου καταγραφής» για να φορτώσετε εξωτερικά αρχεία EVTX.
Ανάγνωση:
Μπορούν τα αρχεία EVTX να μετατραπούν σε CSV;
Τα αρχεία EVTX μπορούν να μετατραπούν σε πιο προσιτές μορφές όπως CSV ή απλό κείμενο για ευκολότερη ανάλυση. Μπορείτε να χρησιμοποιήσετε τοGet-WinEventcmdlet στο PowerShell για να εξαγάγετε συγκεκριμένα δεδομένα συμβάντων και να τα εξαγάγετε σε ένα αρχείο CSV χρησιμοποιώντας WinEvent ή εργαλεία όπωςEvtx2JsonήΑναλυτής καταγραφής.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Ανάγνωση:.
![Λειτουργία παρακολούθησης μονάδας Η ενεργοποίηση απέτυχε στο VMware [Διόρθωση]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/11/module-monitor-failed.png)
![Δεν υπάρχει Internet μετά την επαναφορά του δρομολογητή [Fix]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/09/no-internet-after-router-reset.png)
![Οι 4 κορυφαίες μέθοδοι για να ξεριζώσετε το τηλέφωνο Vivo σαν επαγγελματίας [Εύκολη και γρήγορη]](https://elsefix.com/statics/image/placeholder.png)
