A Windows két parancsot kínál, amelyek lehetővé teszik, hogy a rendszergazdai engedéllyel rendelkező bárki exportálja a Windows eseménynaplóit a PowerShell használatával. A folyamat egyszerű, de többféle módon is elvégezhető aGet-WinEventvagyGet-EventLogparancsmagok, a Windows verziójától függően.
Íme a három parancs az egyenletes naplók PowerShell használatával történő kibontásához.
- A Get-WinEvent használata
- A Get-EventLog használata
- A wevtutil használata nyers EVTX naplókhoz
Ezeket a parancsokat futtathatja a PowerShell-en vagy a Windows Terminálon.
1] A Get-WinEvent használata
A rendszernapló exportálása közvetlenül .csv fájlba:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Itt a LogName System a System számára generált naplókat jelenti, és CSV formátumban exportál.
Ha az elmúlt 24 órából szeretne naplókat .csv formátumban:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] A Get-EventLog használata
Az alkalmazásnapló exportálása közvetlenül txt fájlba:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Itt LogName Application: Megadja a. A kimenet egyszerű szöveges fájlként kerül mentésre.
Olvas:
3] A wevtutil használata nyers EVTX naplókhoz
EVTX fájloka Windows Eseménynapló szolgáltatás által használt, védett .evtx formátumban tárolt fájlok. Tárhelyül szolgálnak az operációs rendszer és a telepített alkalmazások által generált események (pl. rendszeresemények, alkalmazáshibák, biztonsági auditok) rögzítéséhez.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Itt az EPL a napló exportálását jelenti. A fenti parancs Nyers, natív EVTX formátumban naplózza a kimeneteket. Az EVTX fájl létrehozásának legjobb része az, hogy közvetlenül megnyithatja az eseménynézőben.
Remélem ez segít.
EVTX fájlokat hogyan lehet megnyitni?
Az EVTX fájlok számos eszközzel megnyithatók és elemezhetők. A leggyakoribb módszer az Event Viewer, egy beépített Windows-alkalmazás, amely lehetővé teszi az eseménynaplók megtekintését és értelmezését. Az eléréséhez nyomja meg a Win + R billentyűkombinációt, írja beeventvwr, és nyissa meg a „Mentett napló megnyitása” lehetőséget a külső EVTX fájlok betöltéséhez.
Olvas:
Átalakíthatók az EVTX fájlok CSV formátumba?
Az EVTX fájlok könnyebben hozzáférhető formátumokká konvertálhatók, például CSV vagy egyszerű szöveges formátumokká a könnyebb elemzés érdekében. Használhatja aGet-WinEventcmdlet a PowerShellben konkrét eseményadatok kibontásához és CSV-fájlba exportálásához WinEvent vagy olyan eszközök segítségévelEvtx2JsonvagyNaplóelemző.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Olvas:.
