Windows offre due comandi che consentono a chiunque abbia l'autorizzazione amministrativa per esportare i registri degli eventi di Windows utilizzando PowerShell. Il processo è semplice ma può essere fatto in diversi modi usando ilGet-WinEventOGet-EventLogcmdlet, a seconda della versione di Windows.

Come esportare i registri degli eventi di Windows con PowerShell

Ecco i tre comandi per estrarre anche i registri usando PowerShell.

• Usando il gettatura
• Usando Get-Eventlog
• Utilizzando WevTUTIL per i registri EVTX RAW

È possibile eseguire questi comandi su PowerShell o Windows Terminal.

1] Utilizzo di Get-Win

Esportazione del registro di sistema direttamente su un file .csv:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Qui il sistema Logname significa registri generati per il sistema e esporta nel formato CSV.

Se si desidera registri delle ultime 24 ore in formato .csv:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Utilizzo di Get-Eventlog

Esportazione del registro dell'applicazione direttamente su un file TXT:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Qui applicazione logname: specifica il. L'output viene salvato come file di testo semplice.

Leggere:

3] Utilizzo di wevtutil per i registri EVTX grezzi

I file EVTX sonofile archiviati nel formato .evtx proprietario utilizzato dal servizio di registro eventi di Windows. Servono come repository per eventi di registrazione (ad esempio, eventi di sistema, errori di applicazione, audit di sicurezza) generati dal sistema operativo e applicazioni installate.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Qui, EPL sta per il registro di esportazione. I comandi sopra emetti i registri nel loro formato EVTX RAW e nativo. La parte migliore della generazione di un file EVTX è che è possibile aprirlo direttamente nel visualizzatore di eventi.

Spero che questo aiuti.

Come aprire i file EVTX?

I file EVTX possono essere aperti e analizzati utilizzando diversi strumenti. Il metodo più comune è tramite Event Viewer, un'applicazione Windows integrata che consente di visualizzare e interpretare i registri degli eventi. Per accedervi, premere Win + R, Digitaeventvwre aprire l'opzione "Apri registro salvato" per caricare i file EVTX esterni.

Leggere:

I file EVTX possono essere convertiti in CSV?

I file EVTX possono essere convertiti in formati più accessibili come CSV o testo normale per un'analisi più semplice. Puoi usare ilGet-WinEventCMDLET in PowerShell per estrarre dati specifici per eventi ed esportarli in un file CSV utilizzando winevent o strumenti comeEVTX2JSONOLog parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Leggere:.