PowerShell을 사용하여 Windows 이벤트 로그 내보내기: 단계별 가이드
관리자 권한이 있는 경우 Windows는 PowerShell을 통해 Windows 이벤트 로그를 내보내는 두 가지 강력한 명령을 제공합니다. 이 작업은 사용하는 Windows 버전에 따라 Get-WinEvent
또는 cmdlet을 활용하여 다양한 방법으로 손쉽게 수행할 수 있습니다.Get-EventLog
PowerShell을 통한 Windows 이벤트 로그 내보내기
PowerShell을 사용하여 이벤트 로그를 검색하는 세 가지 명령은 다음과 같습니다.
- 활용Get-WinEvent
- 활용Get-EventLog
- wevtutil원시 EVTX 로그 활용
이러한 명령은 PowerShell이나 Windows Terminal에서 실행할 수 있습니다.
1] Get-WinEvent 사용하기
시스템 로그를 csv 파일로 직접 내보내려면 다음 명령을 사용하면 됩니다.
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation
이 경우, LogName System
시스템에 대해 생성된 로그를 CSV 형식으로 내보내는 것을 말합니다.
지난 24시간 동안의 로그를 csv 형식으로 캡처하려면 다음을 실행할 수 있습니다.
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation
2] Get-EventLog 사용하기
애플리케이션 로그를 텍스트 파일로 직접 내보내려면 다음 명령을 사용하세요.
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
여기서는 LogName Application
애플리케이션에 대해 생성된 로그를 의미하며, 출력은 일반 텍스트 파일로 저장됩니다.
3] Raw EVTX 로그에 wevtutil 사용
EVTX 파일은 Windows 이벤트 로그 서비스에서 사용하는 독점적인 .evtx 스타일로 포맷된 Windows 이벤트 로그 파일을 나타냅니다. 이러한 파일은 운영 체제와 설치된 애플리케이션에서 생성된 시스템 오류, 애플리케이션 문제 및 보안 감사와 같은 다양한 이벤트를 로깅하기 위한 저장소 역할을 합니다.
wevtutil epl Security "C:\Logs\SecurityLog.evtx"
여기서는 epl
Export Log를 나타내며, 이 명령은 로그를 원래 EVTX 형식으로 출력합니다. EVTX 파일을 만드는 이점 중 하나는 이벤트 뷰어에서 바로 액세스할 수 있다는 것입니다.
이 정보가 유익하기를 바랍니다.
EVTX 파일에 어떻게 접근하나요?
다양한 도구를 사용하여 EVTX 파일을 열고 분석할 수 있지만, 가장 널리 사용되는 방법은 Windows에 내장된 애플리케이션인 이벤트 뷰어를 사용하는 것입니다. 이벤트 뷰어는 이벤트 로그를 보고 해석하는 데 도움이 됩니다. 시작하려면 Win + R을 누르고 를 입력한 다음 eventvwr
“저장된 로그 열기” 기능을 선택하여 외부 EVTX 파일을 로드합니다.
EVTX 파일을 CSV로 변환할 수 있나요?
네, EVTX 파일은 CSV 또는 일반 텍스트와 같이 관리하기 쉬운 형식으로 변환하여 분석을 간소화할 수 있습니다. Get-WinEvent
PowerShell에서 cmdlet을 사용하여 특정 이벤트 데이터를 추출하여 CSV 파일로 내보내거나 Evtx2Json 또는 Log Parser와 같은 도구를 사용할 수 있습니다.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation
답글 남기기