Τα Windows προσφέρουν δύο εντολές που επιτρέπουν σε οποιονδήποτε με άδεια διαχειριστή για την εξαγωγή αρχείων καταγραφής συμβάντων των Windows χρησιμοποιώντας το PowerShell. Η διαδικασία είναι απλή, αλλά μπορεί να γίνει με πολλούς τρόπους χρησιμοποιώντας τοGet-WinEventήGet-EventLogcmdlets, ανάλογα με την έκδοση των Windows.
Πώς να εξάγετε αρχεία συμβάντων Windows με το PowerShell
Εδώ είναι οι τρεις εντολές για την εξαγωγή ομοιόμορφων αρχείων χρησιμοποιώντας το PowerShell.
- Χρησιμοποιώντας το Get-Winevent
- Χρησιμοποιώντας το get-eventlog
- Χρησιμοποιώντας το Wevtutil για τα ακατέργαστα αρχεία καταγραφής EVTX
Μπορείτε να εκτελέσετε αυτές τις εντολές σε τερματικό PowerShell ή Windows.
1] Χρησιμοποιώντας το Get-Winevent
Εξαγωγή του συστήματος Αρχεία καταγραφής απευθείας σε αρχείο .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Εδώ το σύστημα logname σημαίνει αρχεία καταγραφής που παράγονται για το σύστημα και εξάγει στη μορφή CSV.
Εάν θέλετε αρχεία καταγραφής από τις τελευταίες 24 ώρες σε μορφή .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Χρησιμοποιώντας το get-eventlog
Εξαγωγή του αρχείου καταγραφής αίτησης απευθείας σε ένα αρχείο TXT:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Εδώ Logname Application: Καθορίζει το. Η έξοδος αποθηκεύεται ως αρχείο απλού κειμένου.
Ανάγνωση:
3] Χρησιμοποιώντας το Wevtutil για τα αρχεία καταγραφής RAW EVTX
Τα αρχεία EVTX είναιΑρχεία που είναι αποθηκευμένα στην ιδιόκτητη μορφή .EVTX που χρησιμοποιείται από την υπηρεσία καταγραφής συμβάντων των Windows. Χρησιμεύουν ως αποθετήριο για την καταγραφή συμβάντων (π.χ. συμβάντα συστήματος, σφάλματα εφαρμογής, ελέγχους ασφαλείας) που δημιουργούνται από το λειτουργικό σύστημα και εγκατεστημένες εφαρμογές.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Εδώ, το EPL αντιπροσωπεύει το αρχείο καταγραφής εξαγωγής. Οι παραπάνω εντολές εξάγουν τα αρχεία καταγραφής στην ακατέργαστη μορφή τους EVTX. Το καλύτερο μέρος της δημιουργίας ενός αρχείου EVTX είναι ότι μπορείτε να το ανοίξετε απευθείας στο πρόγραμμα προβολής.
Ελπίζω να βοηθήσει αυτό.
Πώς να ανοίξετε αρχεία EVTX;
Τα αρχεία EVTX μπορούν να ανοίξουν και να αναλυθούν χρησιμοποιώντας διάφορα εργαλεία. Η πιο συνηθισμένη μέθοδος είναι μέσω του προβολέα συμβάντων, μιας ενσωματωμένης εφαρμογής των Windows που σας επιτρέπει να προβάλετε και να ερμηνεύσετε τα αρχεία καταγραφής συμβάντων. Για να αποκτήσετε πρόσβαση, πατήστε Win + R, πληκτρολογήστεεκδήλωση, και ανοίξτε την επιλογή "Open Saved Log" για να φορτώσετε εξωτερικά αρχεία EVTX.
Ανάγνωση:
Μπορούν να μετατραπούν τα αρχεία EVTX σε CSV;
Τα αρχεία EVTX μπορούν να μετατραπούν σε πιο προσιτές μορφές όπως CSV ή απλό κείμενο για ευκολότερη ανάλυση. Μπορείτε να χρησιμοποιήσετε τοGet-WinEventcmdlet στο PowerShell για να εξαγάγετε συγκεκριμένα δεδομένα συμβάντων και να το εξαγάγετε σε ένα αρχείο CSV χρησιμοποιώντας το Winevent ή εργαλεία όπωςEvtx2jsonήΑναλυτής καταγραφής.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Ανάγνωση:.
![Η υπηρεσία Intel SGX AESM τερματίστηκε απροσδόκητα [Διόρθωση]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/12/intel-sgx-terminated.png)
