Windows-gebeurtenislogboeken exporteren met PowerShell: een stapsgewijze handleiding
Voor degenen met beheerdersrechten biedt Windows twee krachtige opdrachten om Windows Event Logs te exporteren via PowerShell. Deze taak kan moeiteloos worden uitgevoerd op verschillende manieren door de Get-WinEvent
of Get-EventLog
cmdlets te gebruiken, afhankelijk van de Windows-versie die u gebruikt.
Windows-gebeurtenislogboeken exporteren via PowerShell
Hieronder staan de drie opdrachten om gebeurtenislogboeken op te halen met behulp van PowerShell:
- Gebruik makend vanGet-WinEvent
- Gebruik makend vanGet-EventLog
- Gebruik wevtutilvoor Raw EVTX-logs
Deze opdrachten kunnen worden uitgevoerd in PowerShell of Windows Terminal.
1] Get-WinEvent gebruiken
Om het systeemlogboek rechtstreeks naar een csv-bestand te exporteren, kunt u de volgende opdracht gebruiken:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation
In dit geval LogName System
verwijst het naar de logboeken die voor het systeem zijn gegenereerd en worden deze geëxporteerd in CSV-formaat.
Als u logs van de afgelopen 24 uur in csv-formaat wilt vastleggen, kunt u het volgende uitvoeren:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation
2] Get-EventLog gebruiken
Gebruik de volgende opdracht om het toepassingslogboek rechtstreeks naar een tekstbestand te exporteren:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Hiermee LogName Application
worden de logboeken bedoeld die voor toepassingen zijn gemaakt, waarbij de uitvoer als platte tekstbestand wordt opgeslagen.
3] Wevtutil gebruiken voor Raw EVTX-logs
EVTX-bestanden vertegenwoordigen Windows Event Log-bestanden die zijn geformatteerd in de gepatenteerde evtx-stijl die wordt gebruikt door de Windows Event Log-service. Deze bestanden fungeren als een opslagplaats voor het loggen van verschillende gebeurtenissen, zoals systeemfouten, toepassingsproblemen en beveiligingsaudits die worden gegenereerd door zowel het besturingssysteem als geïnstalleerde toepassingen.
wevtutil epl Security "C:\Logs\SecurityLog.evtx"
De epl
hier staat voor Export Log, en deze opdracht geeft logs uit in hun originele EVTX-formaat. Een van de voordelen van het maken van een EVTX-bestand is de directe toegankelijkheid in de event viewer.
Ik hoop dat deze informatie nuttig is.
Hoe krijg ik toegang tot EVTX-bestanden?
Verschillende tools stellen u in staat om EVTX-bestanden te openen en analyseren; de meest voorkomende methode is echter via de Event Viewer, een ingebouwde applicatie in Windows die het bekijken en interpreteren van gebeurtenislogboeken vergemakkelijkt. Om deze te starten, drukt u op Win + R, typt u eventvwr
, en selecteert u de functie “Open Saved Log” om externe EVTX-bestanden te laden.
Is het mogelijk om EVTX-bestanden naar CSV te converteren?
Ja, EVTX-bestanden kunnen worden omgezet in beter beheersbare formaten zoals CSV of platte tekst voor vereenvoudigde analyse. U kunt de Get-WinEvent
cmdlet in PowerShell gebruiken om specifieke gebeurtenisgegevens te extraheren en deze te exporteren naar een CSV-bestand, of u kunt tools gebruiken zoals Evtx2Json of Log Parser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation
Geef een reactie