Exporter les journaux d’événements Windows à l’aide de PowerShell : guide étape par étape

Pour les personnes disposant de droits d’administrateur, Windows propose deux commandes puissantes pour exporter les journaux d’événements Windows via PowerShell. Cette tâche peut être effectuée sans effort de différentes manières en utilisant les applets de commande Get-WinEventou Get-EventLog, selon la version de Windows que vous utilisez.

Exportation des journaux d’événements Windows via PowerShell

Vous trouverez ci-dessous les trois commandes permettant de récupérer les journaux d’événements à l’aide de PowerShell :

• UtilisationGet-WinEvent
• UtilisationGet-EventLog
• Utilisation wevtutilpour les journaux EVTX bruts

Ces commandes peuvent être exécutées dans PowerShell ou dans le terminal Windows.

1] Utilisation de Get-WinEvent

Pour exporter le journal système directement dans un fichier . csv, vous pouvez utiliser la commande suivante :

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

Dans ce cas, LogName Systemil s’agit des journaux générés pour le système, en les exportant au format CSV.

Si vous souhaitez capturer les journaux des dernières 24 heures au format csv, vous pouvez exécuter :

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Utilisation de Get-EventLog

Pour exporter le journal d’application directement dans un fichier texte, utilisez la commande suivante :

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Ici, LogName Applicationil s’agit des journaux créés pour les applications, avec la sortie stockée sous forme de fichier texte brut.

3] Utilisation de wevtutil pour les journaux EVTX bruts

Les fichiers EVTX représentent les fichiers journaux d’événements Windows formatés dans le style propriétaire evtx utilisé par le service de journal des événements Windows. Ces fichiers fonctionnent comme un référentiel pour la journalisation de divers événements tels que les erreurs système, les problèmes d’application et les audits de sécurité générés par le système d’exploitation et les applications installées.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

Le eplterme ici désigne Export Log (journal d’exportation) et cette commande génère les journaux dans leur format EVTX d’origine. L’un des avantages de la création d’un fichier EVTX est son accessibilité immédiate dans l’observateur d’événements.

J’espère que ces informations vous seront utiles.

Comment accéder aux fichiers EVTX ?

Différents outils permettent d’ouvrir et d’analyser les fichiers EVTX. Cependant, la méthode la plus répandue consiste à utiliser l’Observateur d’événements, une application intégrée à Windows qui facilite la visualisation et l’interprétation des journaux d’événements. Pour le lancer, appuyez sur Win + R, tapez eventvwr, et sélectionnez la fonction « Ouvrir le journal enregistré » pour charger les fichiers EVTX externes.

Est-il possible de convertir des fichiers EVTX en CSV ?

Oui, les fichiers EVTX peuvent être transformés en formats plus faciles à gérer tels que CSV ou texte brut pour une analyse simplifiée. Vous pouvez utiliser l’ Get-WinEventapplet de commande dans PowerShell pour extraire des données d’événements particulières et les exporter dans un fichier CSV, ou vous pouvez utiliser des outils comme Evtx2Json ou Log Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation