Windows biedt twee opdrachten die iedereen met beheerder toestemming toestaan om Windows -evenementlogboeken te exporteren met behulp van PowerShell. Het proces is eenvoudig maar kan op meerdere manieren worden gedaan met behulp van deGet-WinEventofGet-EventLogCMDlets, afhankelijk van de versie van Windows.
Hoe Windows -evenementlogboeken te exporteren met PowerShell
Hier zijn de drie opdrachten om zelfs logs te extraheren met behulp van PowerShell.
- Get-WinEvent gebruiken
- Get-EventLog gebruiken
- WEVTUTIL gebruiken voor ruwe EVTX -logboeken
U kunt deze opdrachten uitvoeren op PowerShell of Windows Terminal.
1] Get-WinEvent gebruiken
Het systeemlogboek rechtstreeks naar een .csv -bestand exporteren:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Hier betekent het logname -systeem logboeken gegenereerd voor het systeem en exporteert het in het CSV -formaat.
Als u logboeken van de laatste 24 uur in .CSV -indeling wilt:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Get-EventLog gebruiken
Het applicatielogboek rechtstreeks naar een TXT -bestand exporteren:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Hier Lognaam Toepassing: Geeft de. De uitvoer wordt opgeslagen als tekstbestand.
Lezen:
3] WEVTUTIL gebruiken voor ruwe EVTX -logboeken
EVTX -bestanden zijnBestanden die zijn opgeslagen in het eigen .evtx -formaat dat wordt gebruikt door de Windows Event Log -service. Ze dienen als een repository voor het opnemen van evenementen (bijv. Systeemgebeurtenissen, toepassingsfouten, beveiligingsaudits) gegenereerd door het besturingssysteem en geïnstalleerde applicaties.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Hier staat EPL voor exportlogboek. De bovenstaande opdracht voert in hun onbewerkte, native EVTX -formaat uit. Het beste deel van het genereren van een EVTX -bestand is dat u het rechtstreeks kunt openen in de Event Viewer.
Ik hoop dat dit helpt.
Hoe EVTX -bestanden openen?
EVTX -bestanden kunnen worden geopend en geanalyseerd met behulp van verschillende tools. De meest voorkomende methode is via Event Viewer, een ingebouwde Windows-applicatie waarmee u de gebeurtenislogboeken kunt bekijken en interpreteren. Druk op win + r, typ om er toegang toe te krijgenEventvwren open de optie "Open opgeslagen log" om externe EVTX -bestanden te laden.
Lezen:
Kunnen EVTX -bestanden worden geconverteerd naar CSV?
EVTX -bestanden kunnen worden geconverteerd naar meer toegankelijke formaten zoals CSV of gewone tekst voor eenvoudiger analyse. U kunt deGet-WinEventcmdlet in PowerShell om specifieke gebeurtenisgegevens te extraheren en naar een CSV -bestand te exporteren met WinEvent of tools zoals zoals zoalsEvtx2jsonofLog Parser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lezen:.
![REGENTC.EXE Bewerking mislukt, er is een fout opgetreden [repareren]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/11/REAGENTC.EXE-Operation-failed.png)
![Excel loopt vast bij het opslaan van een bestand [repareren]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/12/Excel-crashes-when-saving-a-file.png)
