Windows пропонує дві команди, які дозволяють будь-кому з правами адміністратора експортувати журнали подій Windows за допомогою PowerShell. Процес простий, але його можна виконати різними способами за допомогоюGet-WinEventабоGet-EventLogкомандлети, залежно від версії Windows.
Як експортувати журнали подій Windows за допомогою PowerShell
Ось три команди для видобування парних журналів за допомогою PowerShell.
- Використання Get-WinEvent
- Використання Get-EventLog
- Використання wevtutil для необроблених журналів EVTX
Ці команди можна запускати в PowerShell або терміналі Windows.
1] Використання Get-WinEvent
Експорт системного журналу безпосередньо у файл .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Тут LogName System означає журнали, створені для System, які експортуються у форматі CSV.
Якщо вам потрібні журнали за останні 24 години у форматі .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Використання Get-EventLog
Експорт журналу програми безпосередньо в текстовий файл:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Тут LogName Application: вказує. Результат зберігається як звичайний текстовий файл.
Прочитайте:
3] Використання wevtutil для необроблених журналів EVTX
Файли EVTX єфайли, що зберігаються у власному форматі .evtx, який використовується службою журналу подій Windows. Вони служать сховищем для запису подій (наприклад, системних подій, помилок програм, перевірок безпеки), створених операційною системою та встановленими програмами.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Тут EPL означає експорт журналу. Наведена вище команда виводить журнали у необробленому рідному форматі EVTX. Найкраща частина створення файлу EVTX полягає в тому, що ви можете відкрити його безпосередньо в засобі перегляду подій.
Сподіваюся, це допоможе.
Як відкрити файли EVTX?
Файли EVTX можна відкривати та аналізувати за допомогою кількох інструментів. Найпоширенішим методом є перегляд подій, вбудована програма Windows, яка дозволяє переглядати та інтерпретувати журнали подій. Щоб відкрити його, натисніть Win + R, введітьeventvwrі відкрийте опцію «Відкрити збережений журнал», щоб завантажити зовнішні файли EVTX.
читати:
Чи можна файли EVTX конвертувати у CSV?
Файли EVTX можна конвертувати в більш доступні формати, такі як CSV або звичайний текст, для полегшення аналізу. Ви можете використовуватиGet-WinEventкомандлет у PowerShell, щоб отримати певні дані про подію та експортувати їх у файл CSV за допомогою WinEvent або таких інструментів, якEvtx2JsonабоПарсер журналу.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Прочитайте:.
![Погана якість друку принтера під час друку на ПК з Windows [Виправлення]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/12/Fix-Poor-print-quality-of-Printer.png)
![[Журнал змін] Що нового в Google Chrome 120 і пізніших версіях](https://media.askvg.com/articles/images2/Google_Chrome.png)
