Esportazione dei registri eventi di Windows tramite PowerShell: una guida passo passo

Per coloro che hanno diritti di amministratore, Windows fornisce due potenti comandi per esportare i registri eventi di Windows tramite PowerShell. Questa attività può essere eseguita senza sforzo in vari modi utilizzando i cmdlet Get-WinEvento Get-EventLog, a seconda della versione di Windows che si sta utilizzando.

Esportazione dei registri eventi di Windows tramite PowerShell

Di seguito sono riportati i tre comandi per recuperare i registri eventi utilizzando PowerShell:

• UtilizzandoGet-WinEvent
• UtilizzandoGet-EventLog
• Utilizzo wevtutilper i registri EVTX grezzi

Questi comandi possono essere eseguiti in PowerShell o nel Terminale di Windows.

1] Utilizzo di Get-WinEvent

Per esportare il registro di sistema direttamente in un file . csv, puoi utilizzare il seguente comando:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

In questo caso LogName Systemsi fa riferimento ai log generati per il sistema, esportandoli in formato CSV.

Se desideri acquisire i registri delle ultime 24 ore in formato csv, puoi eseguire:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Utilizzo di Get-EventLog

Per esportare il registro dell’applicazione direttamente in un file di testo, utilizzare il seguente comando:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Qui LogName Applicationindica i registri creati per le applicazioni, con l’output memorizzato come file di testo normale.

3] Utilizzo di wevtutil per i log EVTX Raw

I file EVTX rappresentano i file del registro eventi di Windows formattati nello stile proprietario . evtx utilizzato dal servizio Registro eventi di Windows. Questi file funzionano come repository per la registrazione di vari eventi, come errori di sistema, problemi di applicazione e audit di sicurezza generati sia dal sistema operativo che dalle applicazioni installate.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

Qui epldenota Export Log, e questo comando genera i log nel loro formato EVTX originale. Uno dei vantaggi della creazione di un file EVTX è la sua immediata accessibilità nel visualizzatore eventi.

Spero che queste informazioni siano utili.

Come accedere ai file EVTX?

Diversi strumenti consentono di aprire e analizzare i file EVTX; tuttavia, il metodo più diffuso è tramite Event Viewer, un’applicazione integrata in Windows che facilita la visualizzazione e l’interpretazione dei registri eventi. Per avviarlo, premere Win + R, digitare eventvwre selezionare la funzione “Open Saved Log” per caricare i file EVTX esterni.

È possibile convertire i file EVTX in CSV?

Sì, i file EVTX possono essere trasformati in formati più gestibili come CSV o testo normale per un’analisi semplificata. Puoi utilizzare il Get-WinEventcmdlet in PowerShell per estrarre dati di eventi particolari ed esportarli in un file CSV, oppure puoi utilizzare strumenti come Evtx2Json o Log Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation