Windows tilbyr to kommandoer som lar alle med administratortillatelse eksportere Windows-hendelseslogger ved hjelp av PowerShell. Prosessen er enkel, men kan gjøres på flere måter ved å brukeGet-WinEvent
ellerGet-EventLog
cmdlets, avhengig av versjonen av Windows.
Hvordan eksportere Windows-hendelseslogger med PowerShell
Her er de tre kommandoene for å trekke ut Even-logger ved hjelp av PowerShell.
- Bruker Get-WinEvent
- Bruker Get-EventLog
- Bruke wevtutil for Raw EVTX-logger
Du kan kjøre disse kommandoene på PowerShell eller Windows Terminal.
1] Bruke Get-WinEvent
Eksportere systemloggen direkte til en .csv-fil:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Her betyr LogName System logger generert for System, og det eksporteres i CSV-format.
Hvis du vil ha logger fra de siste 24 timene i .csv-format:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Bruke Get-EventLog
Eksportere applikasjonsloggen direkte til en txt-fil:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Her Loggnavn Application: Spesifiserer. Utdataene lagres som ren tekstfil.
Lese:
3] Bruke wevtutil for Raw EVTX-logger
EVTX-filer erfiler som er lagret i det proprietære .evtx-formatet som brukes av Windows Event Log-tjenesten. De fungerer som et arkiv for registrering av hendelser (f.eks. systemhendelser, applikasjonsfeil, sikkerhetsrevisjoner) generert av operativsystemet og installerte applikasjoner.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Her står EPL for Eksportlogg. Kommandoen ovenfor sender ut logger i sitt rå, opprinnelige EVTX-format. Den beste delen med å generere en EVTX-fil er at du kan åpne den direkte i hendelsesvisningen.
Jeg håper dette hjelper.
Hvordan åpner jeg EVTX filer?
EVTX-filer kan åpnes og analyseres ved hjelp av flere verktøy. Den vanligste metoden er gjennom Event Viewer, en innebygd Windows-applikasjon som lar deg se og tolke hendelsesloggene. For å få tilgang til den, trykk Win + R, skriv inneventvwr, og åpne alternativet "Åpne lagret logg" for å laste eksterne EVTX-filer.
Lese:
Kan EVTX-filer konverteres til CSV?
EVTX-filer kan konverteres til mer tilgjengelige formater som CSV eller ren tekst for enklere analyse. Du kan brukeGet-WinEvent
cmdlet i PowerShell for å trekke ut spesifikke hendelsesdata og eksportere dem til en CSV-fil ved hjelp av WinEvent eller verktøy somEvtx2JsonellerLogg Parser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lese:.