Exportando logs de eventos do Windows usando o PowerShell: um guia passo a passo

Para aqueles com direitos de administrador, o Windows fornece dois comandos poderosos para exportar Logs de Eventos do Windows por meio do PowerShell. Essa tarefa pode ser realizada sem esforço de várias maneiras, utilizando os cmdlets Get-WinEventou Get-EventLog, dependendo da versão do Windows que você estiver usando.

Exportando logs de eventos do Windows via PowerShell

Abaixo estão os três comandos para recuperar logs de eventos usando o PowerShell:

• UtilizandoGet-WinEvent
• UtilizandoGet-EventLog
• Utilizando wevtutilpara Logs EVTX Brutos

Esses comandos podem ser executados no PowerShell ou no Windows Terminal.

1] Usando Get-WinEvent

Para exportar o log do sistema diretamente para um arquivo .csv, você pode usar o seguinte comando:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

Neste caso, LogName Systemrefere-se aos logs gerados para o sistema, exportando-os em formato CSV.

Se você deseja capturar logs das últimas 24 horas no formato .csv, você pode executar:

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2] Usando Get-EventLog

Para exportar o log do aplicativo diretamente para um arquivo de texto, use o seguinte comando:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Aqui, LogName Applicationsignifica os logs criados para aplicativos, com a saída armazenada como um arquivo de texto simples.

3] Usando wevtutil para logs EVTX brutos

Arquivos EVTX representam arquivos de Log de Eventos do Windows formatados no estilo proprietário. evtx utilizado pelo serviço de Log de Eventos do Windows. Esses arquivos funcionam como um repositório para registrar vários eventos, como erros de sistema, problemas de aplicativos e auditorias de segurança geradas pelo sistema operacional e pelos aplicativos instalados.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

O eplaqui denota Export Log, e este comando gera logs em seu formato EVTX original. Uma das vantagens de criar um arquivo EVTX é sua acessibilidade imediata no visualizador de eventos.

Espero que esta informação seja útil.

Como acessar arquivos EVTX?

Várias ferramentas permitem que você abra e analise arquivos EVTX; no entanto, o método mais prevalente é por meio do Event Viewer, um aplicativo integrado no Windows que facilita a visualização e interpretação de logs de eventos. Para iniciá-lo, pressione Win + R, digite eventvwre selecione a função “Open Saved Log” para carregar arquivos EVTX externos.

É possível converter arquivos EVTX para CSV?

Sim, os arquivos EVTX podem ser transformados em formatos mais gerenciáveis, como CSV ou texto simples para análise simplificada. Você pode utilizar o Get-WinEventcmdlet no PowerShell para extrair dados de eventos específicos e exportá-los para um arquivo CSV, ou pode usar ferramentas como Evtx2Json ou Log Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation