Jak wyeksportować dzienniki zdarzeń systemu Windows za pomocą programu PowerShell

System Windows oferuje dwa polecenia, które umożliwiają każdemu z uprawnieniami administratora eksportowanie dzienników zdarzeń systemu Windows przy użyciu programu PowerShell. Proces jest prosty, ale można go wykonać na wiele sposobów za pomocą narzędziaGet-WinEventLubGet-EventLogcmdlet, w zależności od wersji systemu Windows.

Jak wyeksportować dzienniki zdarzeń systemu Windows za pomocą programu PowerShell

Oto trzy polecenia umożliwiające wyodrębnienie dzienników parzystych przy użyciu programu PowerShell.

  • Korzystanie z zdarzenia Get-WinEvent
  • Korzystanie z Get-EventLog
  • Używanie wevtutil do surowych dzienników EVTX

Możesz uruchomić te polecenia w PowerShell lub terminalu Windows.

1] Korzystanie z Get-WinEvent

Eksportowanie dziennika systemowego bezpośrednio do pliku .csv:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Tutaj LogName System oznacza logi wygenerowane dla Systemu i eksportuje je w formacie CSV.

Jeśli chcesz logi z ostatnich 24 godzin w formacie .csv:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Korzystanie z Get-EventLog

Eksportowanie dziennika aplikacji bezpośrednio do pliku txt:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Tutaj LogName Application: Określa. Dane wyjściowe są zapisywane jako zwykły plik tekstowy.

Czytać:

3] Używanie wevtutil do surowych dzienników EVTX

Pliki EVTX sąpliki przechowywane w zastrzeżonym formacie .evtx używanym przez usługę dziennika zdarzeń systemu Windows. Służą jako repozytorium rejestrowania zdarzeń (np. zdarzeń systemowych, błędów aplikacji, audytów bezpieczeństwa) generowanych przez system operacyjny i zainstalowane aplikacje.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Tutaj EPL oznacza dziennik eksportu. Powyższe polecenie generuje dzienniki w surowym, natywnym formacie EVTX. Najlepszą częścią generowania pliku EVTX jest to, że można go bezpośrednio otworzyć w przeglądarce zdarzeń.

Mam nadzieję, że to pomoże.

Jak otworzyć pliki EVTX?

Pliki EVTX można otwierać i analizować za pomocą kilku narzędzi. Najpopularniejszą metodą jest użycie Podglądu zdarzeń, wbudowanej aplikacji systemu Windows, która umożliwia przeglądanie i interpretację dzienników zdarzeń. Aby uzyskać do niego dostęp, naciśnij Win + R, wpiszwydarzenievwri otwórz opcję „Otwórz zapisany dziennik”, aby załadować zewnętrzne pliki EVTX.

Czytać:

Czy pliki EVTX można konwertować do formatu CSV?

Pliki EVTX można konwertować do bardziej dostępnych formatów, takich jak CSV lub zwykły tekst, w celu łatwiejszej analizy. Możesz skorzystać zGet-WinEventcmdlet w PowerShell, aby wyodrębnić określone dane zdarzenia i wyeksportować je do pliku CSV przy użyciu WinEvent lub narzędzi takich jakEvtx2JsonLubAnalizator dziennika.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Czytać:.

Related Posts