PowerShell を使用して Windows イベント ログをエクスポートする: ステップ バイ ステップ ガイド

管理者権限を持つユーザー向けに、Windows では PowerShell を介して Windows イベント ログをエクスポートするための強力なコマンドが 2 つ提供されています。このタスクは、使用している Windows のバージョンに応じて、Get-WinEventまたはGet-EventLogコマンドレットを使用してさまざまな方法で簡単に実行できます。

PowerShell 経由で Wi​​ndows イベント ログをエクスポートする

以下は、PowerShell を使用してイベント ログを取得するための 3 つのコマンドです。

• 活用Get-WinEvent
• 活用Get-EventLog
• wevtutil生のEVTXログの利用

これらのコマンドは、PowerShell または Windows ターミナルのいずれかで実行できます。

1] Get-WinEventの使用

システム ログを .csv ファイルに直接エクスポートするには、次のコマンドを使用します。

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

この場合、LogName Systemシステム用に生成されたログを参照し、CSV 形式でエクスポートします。

過去 24 時間のログを csv 形式でキャプチャする場合は、次のコマンドを実行します。

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Get-EventLogの使用

アプリケーション ログをテキスト ファイルに直接エクスポートするには、次のコマンドを使用します。

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

ここでは、LogName Applicationアプリケーション用に作成されたログを示し、出力はプレーンテキスト ファイルとして保存されます。

3] 生のEVTXログにwevtutilを使用する

EVTX ファイルは、Windows イベント ログ サービスで使用される独自の .evtx スタイルでフォーマットされた Windows イベント ログ ファイルを表します。これらのファイルは、オペレーティング システムとインストールされたアプリケーションの両方によって生成されるシステム エラー、アプリケーションの問題、セキュリティ監査などのさまざまなイベントを記録するためのリポジトリとして機能します。

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

ここeplで は「ログのエクスポート」を意味し、このコマンドはログを元の EVTX 形式で出力します。EVTX ファイルを作成する利点の 1 つは、イベント ビューアーですぐにアクセスできることです。

この情報が役に立つことを願っています。

EVTX ファイルにアクセスするには?

さまざまなツールで EVTX ファイルを開いて分析できますが、最も一般的な方法は、イベント ログの表示と解釈を容易にする Windows の組み込みアプリケーションであるイベント ビューアーを使用することです。これを起動するには、Win + R を押して と入力しeventvwr、「保存されたログを開く」機能を選択して外部 EVTX ファイルを読み込みます。

EVTX ファイルを CSV に変換することは可能ですか?

はい、EVTX ファイルは CSV やプレーン テキストなどの管理しやすい形式に変換して、分析を簡素化できます。PowerShellGet-WinEventのコマンドレットを使用して特定のイベント データを抽出し、CSV ファイルにエクスポートしたり、Evtx2Json や Log Parser などのツールを使用することもできます。

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation