System Windows oferuje dwa polecenia, które umożliwiają każdemu z uprawnieniami administratora eksportowanie dzienników zdarzeń systemu Windows przy użyciu programu PowerShell. Proces jest prosty, ale można go wykonać na wiele sposobów za pomocą narzędziaGet-WinEvent
LubGet-EventLog
cmdlet, w zależności od wersji systemu Windows.
Jak wyeksportować dzienniki zdarzeń systemu Windows za pomocą programu PowerShell
Oto trzy polecenia umożliwiające wyodrębnienie dzienników parzystych przy użyciu programu PowerShell.
- Korzystanie z zdarzenia Get-WinEvent
- Korzystanie z Get-EventLog
- Używanie wevtutil do surowych dzienników EVTX
Możesz uruchomić te polecenia w PowerShell lub terminalu Windows.
1] Korzystanie z Get-WinEvent
Eksportowanie dziennika systemowego bezpośrednio do pliku .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Tutaj LogName System oznacza logi wygenerowane dla Systemu i eksportuje je w formacie CSV.
Jeśli chcesz logi z ostatnich 24 godzin w formacie .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Korzystanie z Get-EventLog
Eksportowanie dziennika aplikacji bezpośrednio do pliku txt:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Tutaj LogName Application: Określa. Dane wyjściowe są zapisywane jako zwykły plik tekstowy.
Czytać:
3] Używanie wevtutil do surowych dzienników EVTX
Pliki EVTX sąpliki przechowywane w zastrzeżonym formacie .evtx używanym przez usługę dziennika zdarzeń systemu Windows. Służą jako repozytorium rejestrowania zdarzeń (np. zdarzeń systemowych, błędów aplikacji, audytów bezpieczeństwa) generowanych przez system operacyjny i zainstalowane aplikacje.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Tutaj EPL oznacza dziennik eksportu. Powyższe polecenie generuje dzienniki w surowym, natywnym formacie EVTX. Najlepszą częścią generowania pliku EVTX jest to, że można go bezpośrednio otworzyć w przeglądarce zdarzeń.
Mam nadzieję, że to pomoże.
Jak otworzyć pliki EVTX?
Pliki EVTX można otwierać i analizować za pomocą kilku narzędzi. Najpopularniejszą metodą jest użycie Podglądu zdarzeń, wbudowanej aplikacji systemu Windows, która umożliwia przeglądanie i interpretację dzienników zdarzeń. Aby uzyskać do niego dostęp, naciśnij Win + R, wpiszwydarzenievwri otwórz opcję „Otwórz zapisany dziennik”, aby załadować zewnętrzne pliki EVTX.
Czytać:
Czy pliki EVTX można konwertować do formatu CSV?
Pliki EVTX można konwertować do bardziej dostępnych formatów, takich jak CSV lub zwykły tekst, w celu łatwiejszej analizy. Możesz skorzystać zGet-WinEvent
cmdlet w PowerShell, aby wyodrębnić określone dane zdarzenia i wyeksportować je do pliku CSV przy użyciu WinEvent lub narzędzi takich jakEvtx2JsonLubAnalizator dziennika.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Czytać:.