×
Outbyte PC Repair
Outbyte Driver Updater

Exportieren von Windows-Ereignisprotokollen mit PowerShell: Eine Schritt-für-Schritt-Anleitung

2024/12/09
Exportieren von Windows-Ereignisprotokollen mit PowerShell: Eine Schritt-für-Schritt-Anleitung

Für Benutzer mit Administratorrechten bietet Windows zwei leistungsstarke Befehle zum Exportieren von Windows-Ereignisprotokollen über PowerShell. Diese Aufgabe kann mithilfe der Cmdlets Get-WinEventoder mühelos auf verschiedene Weise ausgeführt werden Get-EventLog, je nachdem, welche Windows-Version Sie verwenden.

Exportieren von Windows-Ereignisprotokollen über PowerShell

Nachfolgend sind die drei Befehle zum Abrufen von Ereignisprotokollen mit PowerShell aufgeführt:

  • NutzungGet-WinEvent
  • NutzungGet-EventLog
  • Nutzung wevtutilfür rohe EVTX-Protokolle

Diese Befehle können entweder in PowerShell oder im Windows-Terminal ausgeführt werden.

1] Verwenden von Get-WinEvent

Um das Systemprotokoll direkt in eine CSV-Datei zu exportieren, können Sie den folgenden Befehl verwenden:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

Bezieht sich in diesem Fall LogName Systemauf die für das System generierten Protokolle und exportiert sie im CSV-Format.

Wenn Sie Protokolle der letzten 24 Stunden im CSV-Format erfassen möchten, können Sie Folgendes ausführen:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Verwenden von Get-EventLog

Um das Anwendungsprotokoll direkt in eine Textdatei zu exportieren, verwenden Sie den folgenden Befehl:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Hiermit LogName Applicationsind die für Anwendungen erstellten Protokolle gemeint, deren Ausgabe als reine Textdatei gespeichert wird.

3] Verwenden von wevtutil für Raw EVTX-Protokolle

EVTX-Dateien sind Windows-Ereignisprotokolldateien, die im proprietären evtx-Stil formatiert sind, der vom Windows-Ereignisprotokolldienst verwendet wird. Diese Dateien dienen als Repository zum Protokollieren verschiedener Ereignisse wie Systemfehler, Anwendungsprobleme und Sicherheitsüberprüfungen, die sowohl vom Betriebssystem als auch von installierten Anwendungen generiert werden.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

Das eplhier steht für „Protokoll exportieren“, und dieser Befehl gibt Protokolle in ihrem ursprünglichen EVTX-Format aus. Einer der Vorteile beim Erstellen einer EVTX-Datei ist der sofortige Zugriff in der Ereignisanzeige.

Ich hoffe, diese Informationen sind hilfreich.

Wie greife ich auf EVTX-Dateien zu?

Mit verschiedenen Tools können Sie EVTX-Dateien öffnen und analysieren. Die gängigste Methode ist jedoch die Ereignisanzeige, eine in Windows integrierte Anwendung, die das Anzeigen und Interpretieren von Ereignisprotokollen erleichtert. Um sie zu starten, drücken Sie Win + R, geben Sie ein eventvwrund wählen Sie die Funktion „Gespeichertes Protokoll öffnen“, um externe EVTX-Dateien zu laden.

Ist es möglich, EVTX-Dateien in CSV zu konvertieren?

Ja, EVTX-Dateien können zur einfacheren Analyse in handlichere Formate wie CSV oder einfachen Text umgewandelt werden. Sie können das Get-WinEventCmdlet in PowerShell verwenden, um bestimmte Ereignisdaten zu extrahieren und in eine CSV-Datei zu exportieren, oder Sie können Tools wie Evtx2Json oder Log Parser verwenden.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation

Outbyte PC Repair
Outbyte Driver Updater

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert