O Windows oferece dois comandos que permitem que qualquer pessoa com permissão de administrador exporte logs de eventos do Windows usando o PowerShell. O processo é simples, mas pode ser feito de várias maneiras usando oGet-WinEvent
ouGet-EventLog
cmdlets, dependendo da versão do Windows.
Como exportar logs de eventos do Windows com PowerShell
Aqui estão os três comandos para extrair logs Even usando PowerShell.
- Usando Get-WinEvent
- Usando Get-EventLog
- Usando wevtutil para logs EVTX brutos
Você pode executar esses comandos no PowerShell ou no Terminal do Windows.
1] Usando Get-WinEvent
Exportando o log do sistema diretamente para um arquivo .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Aqui, LogName System significa logs gerados para System e exporta no formato CSV.
Se você quiser registros das últimas 24 horas no formato .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Usando Get-EventLog
Exportando o log da aplicação diretamente para um arquivo txt:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Aqui LogName Application: especifica o. A saída é salva como arquivo de texto simples.
Ler:
3] Usando wevtutil para logs EVTX brutos
Os arquivos EVTX sãoarquivos armazenados no formato proprietário .evtx usado pelo serviço Windows Event Log. Eles servem como repositório para registrar eventos (por exemplo, eventos do sistema, erros de aplicativos, auditorias de segurança) gerados pelo sistema operacional e aplicativos instalados.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Aqui, EPL significa Log de exportação. O comando acima gera logs em seu formato EVTX nativo bruto. A melhor parte de gerar um arquivo EVTX é que você pode abri-lo diretamente no visualizador de eventos.
Espero que isso ajude.
Como abrir os arquivos EVTX?
Os arquivos EVTX podem ser abertos e analisados usando diversas ferramentas. O método mais comum é através do Event Viewer, um aplicativo integrado do Windows que permite visualizar e interpretar os logs de eventos. Para acessá-lo, pressione Win + R, digiteeventovwre abra a opção “Abrir log salvo” para carregar arquivos EVTX externos.
Ler:
Os arquivos EVTX podem ser convertidos para CSV?
Os arquivos EVTX podem ser convertidos para formatos mais acessíveis, como CSV ou texto simples, para facilitar a análise. Você pode usar oGet-WinEvent
cmdlet no PowerShell para extrair dados de eventos específicos e exportá-los para um arquivo CSV usando WinEvent ou ferramentas comoEvtx2JsonouAnalisador de registros.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Ler:.