Eksportowanie dzienników zdarzeń systemu Windows za pomocą programu PowerShell: przewodnik krok po kroku

Dla użytkowników z uprawnieniami administratora system Windows udostępnia dwa potężne polecenia do eksportowania dzienników zdarzeń systemu Windows za pomocą programu PowerShell. To zadanie można wykonać bez wysiłku na różne sposoby, wykorzystując polecenia cmdlet Get-WinEventlub Get-EventLog, w zależności od używanej wersji systemu Windows.

Eksportowanie dzienników zdarzeń systemu Windows za pomocą programu PowerShell

Poniżej znajdują się trzy polecenia umożliwiające pobranie dzienników zdarzeń za pomocą programu PowerShell:

• WykorzystującGet-WinEvent
• WykorzystującGet-EventLog
• Wykorzystanie wevtutilsurowych dzienników EVTX

Polecenia te można wykonać zarówno w programie PowerShell, jak i w terminalu systemu Windows.

1] Korzystanie z Get-WinEvent

Aby wyeksportować dziennik systemowy bezpośrednio do pliku .csv, możesz użyć następującego polecenia:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

W tym przypadku LogName Systemchodzi o dzienniki generowane dla systemu i eksportowane w formacie CSV.

Jeśli chcesz przechwycić logi z ostatnich 24 godzin w formacie csv, możesz uruchomić:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Korzystanie z Get-EventLog

Aby wyeksportować dziennik aplikacji bezpośrednio do pliku tekstowego, użyj następującego polecenia:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Tutaj LogName Applicationoznacza logi utworzone dla aplikacji, a dane wyjściowe są przechowywane w postaci zwykłego pliku tekstowego.

3] Używanie wevtutil do surowych dzienników EVTX

Pliki EVTX reprezentują pliki dziennika zdarzeń systemu Windows sformatowane w zastrzeżonym stylu evtx używanym przez usługę dziennika zdarzeń systemu Windows. Pliki te pełnią funkcję repozytorium do rejestrowania różnych zdarzeń, takich jak błędy systemowe, problemy z aplikacjami i audyty zabezpieczeń generowane zarówno przez system operacyjny, jak i zainstalowane aplikacje.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

Tutaj eploznacza Export Log, a to polecenie wyprowadza logi w ich oryginalnym formacie EVTX. Jedną z zalet tworzenia pliku EVTX jest jego natychmiastowa dostępność w przeglądarce zdarzeń.

Mam nadzieję, że te informacje okażą się przydatne.

Jak uzyskać dostęp do plików EVTX?

Różne narzędzia umożliwiają otwieranie i analizowanie plików EVTX; jednak najpopularniejszą metodą jest Event Viewer, wbudowana aplikacja w systemie Windows, która ułatwia przeglądanie i interpretowanie dzienników zdarzeń. Aby ją uruchomić, naciśnij Win + R, wpisz eventvwri wybierz funkcję „Open Saved Log”, aby załadować zewnętrzne pliki EVTX.

Czy można przekonwertować pliki EVTX do formatu CSV?

Tak, pliki EVTX można przekształcić do bardziej zarządzalnych formatów, takich jak CSV lub zwykły tekst, w celu uproszczonej analizy. Możesz użyć polecenia Get-WinEventcmdlet w programie PowerShell, aby wyodrębnić określone dane zdarzeń i wyeksportować je do pliku CSV, lub możesz użyć narzędzi, takich jak Evtx2Json lub Log Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation