„Windows“ siūlo dvi komandas, leidžiančias visiems, turintiems administratoriaus teises, eksportuoti „Windows“ įvykių žurnalus naudojant „PowerShell“. Procesas yra nesudėtingas, tačiau jį galima atlikti įvairiais būdais naudojantGet-WinEventarbaGet-EventLogcmdlet, priklausomai nuo „Windows“ versijos.
Kaip eksportuoti „Windows“ įvykių žurnalus naudojant „PowerShell“.
Čia yra trys komandos, skirtos net žurnalams išgauti naudojant „PowerShell“.
- Naudojant Get-WinEvent
- Naudojant Get-EventLog
- „wevtutil“ naudojimas neapdorotiems EVTX žurnalams
Šias komandas galite paleisti PowerShell arba Windows terminale.
1] Naudojant Get-WinEvent
Sistemos žurnalo eksportavimas tiesiai į .csv failą:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Čia LogName sistema reiškia žurnalus, sugeneruotus sistemai, ir ji eksportuojama CSV formatu.
Jei norite žurnalų iš pastarųjų 24 valandų .csv formatu:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Get-EventLog naudojimas
Programos žurnalo eksportavimas tiesiai į txt failą:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Čia LogName programa: nurodo. Išvestis išsaugoma kaip paprasto teksto failas.
Skaityti:
3] „wevtutil“ naudojimas neapdorotiems EVTX žurnalams
EVTX failai yrafailai, saugomi patentuotu .evtx formatu, naudojamu „Windows“ įvykių žurnalo paslauga. Jie naudojami kaip operacinės sistemos ir įdiegtų programų sugeneruotų įvykių (pvz., sistemos įvykių, programų klaidų, saugos auditų) įrašymo saugykla.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Čia EPL reiškia Eksporto žurnalą. Aukščiau pateikta komanda Išvedimai registruojami neapdorotu, vietiniu EVTX formatu. Geriausia EVTX failo generavimo dalis yra tai, kad galite jį tiesiogiai atidaryti įvykių peržiūros priemonėje.
Tikiuosi, kad tai padės.
Kaip atidaryti EVTX failus?
EVTX failus galima atidaryti ir analizuoti naudojant kelis įrankius. Labiausiai paplitęs metodas yra Event Viewer, integruota Windows programa, leidžianti peržiūrėti ir interpretuoti įvykių žurnalus. Norėdami jį pasiekti, paspauskite Win + R, įveskiteeventvwrir atidarykite parinktį „Atidaryti išsaugotą žurnalą“, kad įkeltumėte išorinius EVTX failus.
Skaityti:
Ar EVTX failus galima konvertuoti į CSV?
EVTX failus galima konvertuoti į labiau prieinamus formatus, pvz., CSV arba paprastą tekstą, kad būtų lengviau analizuoti. Galite naudotiGet-WinEventcmdlet programoje „PowerShell“, kad išgautumėte konkrečius įvykių duomenis ir eksportuotumėte juos į CSV failą naudodami „WinEvent“ arba tokius įrankius kaipEvtx2JsonarbaŽurnalų analizatorius.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Skaityti:.
![[Patarimas] Išjunkite neskaitytų el. pašto pranešimų skaičiaus ženklelį „Thunderbird“ piktogramoje „Windows“ užduočių juostoje](https://media.askvg.com/articles/images8/Unread_Email_Messages_Count_Icon_Badge_Thunderbird_Button_Windows_Taskbar.png){kind=icon}
