Como exportar logs de eventos do Windows com PowerShell

O Windows oferece dois comandos que permitem que qualquer pessoa com permissão de administrador exporte logs de eventos do Windows usando o PowerShell. O processo é simples, mas pode ser feito de várias maneiras usando oGet-WinEventouGet-EventLogcmdlets, dependendo da versão do Windows.

Como exportar logs de eventos do Windows com PowerShell

Aqui estão os três comandos para extrair logs Even usando PowerShell.

  • Usando Get-WinEvent
  • Usando Get-EventLog
  • Usando wevtutil para logs EVTX brutos

Você pode executar esses comandos no PowerShell ou no Terminal do Windows.

1] Usando Get-WinEvent

Exportando o log do sistema diretamente para um arquivo .csv:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Aqui, LogName System significa logs gerados para System e exporta no formato CSV.

Se você quiser registros das últimas 24 horas no formato .csv:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Usando Get-EventLog

Exportando o log da aplicação diretamente para um arquivo txt:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Aqui LogName Application: especifica o. A saída é salva como arquivo de texto simples.

Ler:

3] Usando wevtutil para logs EVTX brutos

Os arquivos EVTX sãoarquivos armazenados no formato proprietário .evtx usado pelo serviço Windows Event Log. Eles servem como repositório para registrar eventos (por exemplo, eventos do sistema, erros de aplicativos, auditorias de segurança) gerados pelo sistema operacional e aplicativos instalados.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

Aqui, EPL significa Log de exportação. O comando acima gera logs em seu formato EVTX nativo bruto. A melhor parte de gerar um arquivo EVTX é que você pode abri-lo diretamente no visualizador de eventos.

Espero que isso ajude.

Como abrir os arquivos EVTX?

Os arquivos EVTX podem ser abertos e analisados ​​usando diversas ferramentas. O método mais comum é através do Event Viewer, um aplicativo integrado do Windows que permite visualizar e interpretar os logs de eventos. Para acessá-lo, pressione Win + R, digiteeventovwre abra a opção “Abrir log salvo” para carregar arquivos EVTX externos.

Ler:

Os arquivos EVTX podem ser convertidos para CSV?

Os arquivos EVTX podem ser convertidos para formatos mais acessíveis, como CSV ou texto simples, para facilitar a análise. Você pode usar oGet-WinEventcmdlet no PowerShell para extrair dados de eventos específicos e exportá-los para um arquivo CSV usando WinEvent ou ferramentas comoEvtx2JsonouAnalisador de registros.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Ler:.

Related Posts