Windows tarjoaa kaksi komentoa, joiden avulla kuka tahansa, jolla on järjestelmänvalvojan oikeudet, voi viedä Windows-tapahtumalokeja PowerShellin avulla. Prosessi on yksinkertainen, mutta se voidaan tehdä useilla tavoilla käyttämälläGet-WinEventtaiGet-EventLogcmdletit Windows-versiosta riippuen.
Windows-tapahtumalokien vieminen PowerShellillä
Tässä on kolme komentoa parillisten lokien purkamiseen PowerShellin avulla.
- Get-WinEventin käyttö
- Käytä Get-EventLogia
- Wevtutilin käyttö raaka-EVTX-lokeille
Voit suorittaa nämä komennot PowerShellissä tai Windows Terminalissa.
1] Get-WinEventin käyttäminen
Järjestelmälokin vieminen suoraan .csv-tiedostoon:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Tässä LogName System tarkoittaa järjestelmälle luotuja lokeja, jotka viedään CSV-muodossa.
Jos haluat lokit viimeisen 24 tunnin ajalta .csv-muodossa:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Get-EventLogin käyttäminen
Sovelluslokin vieminen suoraan txt-tiedostoon:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Tässä LogName Application: Määrittää. Tulos tallennetaan pelkkänä tekstitiedostona.
Lukea:
3] wevtutilin käyttö raaka-EVTX-lokeille
EVTX-tiedostot ovattiedostot, jotka on tallennettu Windowsin tapahtumalokipalvelun käyttämään omaan .evtx-muotoon. Ne toimivat arkistona käyttöjärjestelmän ja asennettujen sovellusten luomien tapahtumien (esim. järjestelmätapahtumat, sovellusvirheet, tietoturvatarkastukset) tallentamiseen.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Tässä EPL tarkoittaa vientilokia. Yllä oleva komento Tulostaa lokit raakana, alkuperäisessä EVTX-muodossaan. Parasta EVTX-tiedoston luomisessa on, että voit avata sen suoraan tapahtumien katseluohjelmassa.
Toivottavasti tämä auttaa.
Kuinka avata EVTX -tiedostoja?
EVTX-tiedostoja voidaan avata ja analysoida useilla työkaluilla. Yleisin tapa on Event Viewer, sisäänrakennettu Windows-sovellus, jonka avulla voit tarkastella ja tulkita tapahtumalokeja. Pääset siihen painamalla Win + R, kirjoitaeventvwr, ja avaa "Avaa tallennettu loki" -vaihtoehto ladataksesi ulkoiset EVTX-tiedostot.
Lukea:
Voidaanko EVTX-tiedostoja muuntaa CSV-muotoon?
EVTX-tiedostot voidaan muuntaa helppokäyttöisempiin muotoihin, kuten CSV tai pelkkä teksti analyysin helpottamiseksi. Voit käyttääGet-WinEventcmdlet PowerShellissä poimia tiettyjä tapahtumatietoja ja viedä ne CSV-tiedostoon WinEventin tai työkalujen, kuten esim.Evtx2JsontaiLokin jäsentäjä.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lukea:.
![[Vinkki] Ota välilehtien vieritys käyttöön Opera One](https://media.askvg.com/articles/images8/Tab_Scrolling_Enabled_Opera_One_Version_100_Web_Browser.png)
![[Vinkki] Windows 11:n asentaminen vanhoihin laitteisiin, joita ei tueta](https://media.askvg.com/articles/images8/Fixing_This_PC_Cant_Run_Windows_11_Error_Message_Installing_Windows_11.png)
![[Ratkaistu] Mihin AirDrop-tiedostot ja valokuvat menevät iPhonessa/Macissa?](https://elsefix.com/statics/image/placeholder.png)
![REAGENTC.EXE Toiminto epäonnistui, tapahtui virhe [Korjaa]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/11/REAGENTC.EXE-Operation-failed.png)