Windows пропонує дві команди, які дозволяють будь -кому, хто має дозвіл адміністратора експортувати журнали подій Windows за допомогою PowerShell. Процес простий, але його можна зробити різними способами, використовуючиGet-WinEventабоGet-EventLogCMDLETS, залежно від версії Windows.
Як експортувати журнали подій Windows за допомогою PowerShell
Ось три команди для вилучення навіть журналів за допомогою PowerShell.
- Використовуючи валента
- Використання get-ventlog
- Використання wevtutil для сировинних журналів EVTX
Ви можете запустити ці команди на терміналі PowerShell або Windows.
1] Використовуючи начальник
Експорт журналу системи безпосередньо у файл .csv:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Тут система Logname означає журнали, створені для системи, і вона експортує у форматі CSV.
Якщо ви хочете журнали з останніх 24 годин у форматі .csv:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Використання get-ventlog
Експорт журналу програми безпосередньо у файл TXT:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Тут додаток Logname: Вказує. Вихід зберігається як звичайний текстовий файл.
Читати:
3] Використання WevTutil для сировинних журналів EVTX
Файли evtx єФайли, що зберігаються у власному форматі .EVTX, що використовується службою журналу подій Windows. Вони служать сховищем для запису подій (наприклад, системних подій, помилок додатків, аудитів безпеки), створеними операційною системою та встановленими програмами.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Тут EPL означає журнал експорту. Наведена вище команда виводить журнали у їхньому сирому, рідному форматі EVTX. Найкраща частина генерації файлу EVTX полягає в тому, що ви можете безпосередньо відкрити його у перегляді події.
Сподіваюся, це допомагає.
Як відкрити файли EVTX?
Файли EVTX можна відкрити та проаналізувати за допомогою декількох інструментів. Найпоширеніший метод-через переглядач подій, вбудованого програми Windows, який дозволяє переглядати та інтерпретувати журнали подій. Щоб отримати доступ до нього, натисніть Win + R, введітьEventVwr, і відкрийте параметр "Відкрити збережений журнал" для завантаження зовнішніх файлів EVTX.
Прочитайте:
Чи можна перетворити файли EVTX у CSV?
Файли EVTX можуть бути перетворені в більш доступні формати, такі як CSV або звичайний текст для легшого аналізу. Ви можете використовуватиGet-WinEventCMDLE в PowerShell для отримання конкретних даних подій та експорту їх у файл CSV за допомогою вина або інструментів, таких якEVTX2JSONабоЛєжневий аналізатор.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Читати:.
