A Windows két parancsot kínál, amelyek lehetővé teszik, hogy a rendszergazdai engedéllyel rendelkező bárki exportálja a Windows eseménynaplóit a PowerShell használatával. A folyamat egyszerű, de többféle módon is elvégezhető aGet-WinEventvagyGet-EventLogparancsmagok, a Windows verziójától függően.
Windows eseménynaplók exportálása a PowerShell segítségével
Íme a három parancs az egyenletes naplók PowerShell használatával történő kibontásához.
- A Get-WinEvent használata
- A Get-EventLog használata
- A wevtutil használata nyers EVTX naplókhoz
Ezeket a parancsokat futtathatja a PowerShell-en vagy a Windows Terminálon.
1] A Get-WinEvent használata
A rendszernapló exportálása közvetlenül .csv fájlba:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Itt a LogName System a System számára generált naplókat jelenti, és CSV formátumban exportál.
Ha naplókat szeretne az elmúlt 24 órából .csv formátumban:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] A Get-EventLog használata
Az alkalmazásnapló exportálása közvetlenül txt fájlba:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Itt LogName Application: Megadja a. A kimenet egyszerű szöveges fájlként kerül mentésre.
Olvas:
3] A wevtutil használata nyers EVTX naplókhoz
EVTX fájloka Windows Eseménynapló szolgáltatás által használt, védett .evtx formátumban tárolt fájlok. Tárhelyül szolgálnak az operációs rendszer és a telepített alkalmazások által generált események (pl. rendszeresemények, alkalmazáshibák, biztonsági auditok) rögzítéséhez.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Itt az EPL a napló exportálását jelenti. A fenti parancs A kimenetek a nyers, natív EVTX formátumukban naplózzák. Az EVTX fájl létrehozásának legjobb része az, hogy közvetlenül megnyithatja azt az eseménynézőben.
Remélem ez segít.
EVTX fájlokat hogyan lehet megnyitni?
Az EVTX fájlok számos eszközzel megnyithatók és elemezhetők. A leggyakoribb módszer az Event Viewer, egy beépített Windows-alkalmazás, amely lehetővé teszi az eseménynaplók megtekintését és értelmezését. Az eléréséhez nyomja meg a Win + R billentyűket, írja beeventvwr, és nyissa meg a „Mentett napló megnyitása” opciót a külső EVTX fájlok betöltéséhez.
Olvas:
Átalakíthatók az EVTX fájlok CSV formátumba?
Az EVTX fájlok könnyebben hozzáférhető formátumokká konvertálhatók, például CSV vagy egyszerű szöveges formátumokká a könnyebb elemzés érdekében. Használhatja aGet-WinEventcmdlet a PowerShellben konkrét eseményadatok kibontásához és CSV-fájlba exportálásához WinEvent vagy olyan eszközök segítségévelEvtx2JsonvagyNaplóelemző.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Olvas:.
![A Windows nem tudja feloldani a domain nevet [Javítás]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/09/cant-resolve-domain-name-1.jpg)
![[AskVG Apps] Ingyenes szoftver letöltése a Windows beállításához és testreszabásához](https://media.askvg.com/articles/images8/Run_Editor_Freeware_Launch_Programs_Custom_Name_Run_Box_Windows.png)
![[Javítva] A PGSharp elakadt a betöltési képernyőn: tippek és megoldások](https://elsefix.com/statics/image/placeholder.png)
