Windows には、管理者権限を持つ誰でも PowerShell を使用して Windows イベント ログをエクスポートできる 2 つのコマンドが用意されています。このプロセスは簡単ですが、Get-WinEventまたはGet-EventLogコマンドレット (Windows のバージョンに応じて)。
PowerShell を使用して Windows イベント ログをエクスポートする方法
PowerShell を使用して偶数ログを抽出する 3 つのコマンドを次に示します。
- Get-WinEvent の使用
- Get-EventLog の使用
- 生の EVTX ログに wevtutil を使用する
これらのコマンドは、PowerShell または Windows ターミナルで実行できます。
1] Get-WinEvent の使用
システム ログを .csv ファイルに直接エクスポートします。
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
ここで、LogName System とは、System に対して生成されたログを意味し、CSV 形式でエクスポートされます。
過去 24 時間のログを .csv 形式で取得したい場合:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Get-EventLog の使用
アプリケーション ログを txt ファイルに直接エクスポートします。
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
ここで LogName Application: を指定します。。出力はプレーン テキスト ファイルとして保存されます。
読む:
3]生のEVTXログにwevtutilを使用する
EVTX ファイルはWindows イベント ログ サービスで使用される独自の .evtx 形式で保存されたファイル。これらは、オペレーティング システムおよびインストールされたアプリケーションによって生成されたイベント (システム イベント、アプリケーション エラー、セキュリティ監査など) を記録するためのリポジトリとして機能します。
wevtutil epl Security "C:\LogsSecurityLog.evtx"
ここで、EPL はエクスポート ログの略です。上記のコマンドは、生のネイティブ EVTX 形式でログを出力します。 EVTX ファイルを生成する最も優れた点は、イベント ビューアで直接開くことができることです。
これがお役に立てば幸いです。
EVTXファイルを開くには?
EVTX ファイルは、いくつかのツールを使用して開いて分析できます。最も一般的な方法は、イベント ビューアを使用する方法です。イベント ビューアは、イベント ログを表示および解釈できる組み込みの Windows アプリケーションです。アクセスするには、Win + R を押し、次のように入力します。イベントvwrをクリックし、「保存されたログを開く」オプションを開いて外部 EVTX ファイルをロードします。
読む:
EVTX ファイルを CSV に変換できますか?
EVTX ファイルは、分析を容易にするために、CSV やプレーン テキストなどのアクセスしやすい形式に変換できます。使用できますGet-WinEventPowerShell のコマンドレットで特定のイベント データを抽出し、WinEvent または次のようなツールを使用して CSV ファイルにエクスポートします。Evtx2Jsonまたはログパーサー。
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
読む:。
