使用 PowerShell 匯出 Windows 事件日誌：逐步指南

對於具有管理員權限的用戶，Windows 提供了兩個強大的命令來透過 PowerShell 匯出 Windows 事件日誌。可以透過使用Get-WinEvent或cmdlet以多種方式輕鬆執行此任務Get-EventLog，具體取決於您使用的 Windows 版本。

透過 PowerShell 匯出 Windows 事件日誌

以下是使用 PowerShell 擷取事件日誌的三個命令：

• 利用Get-WinEvent
• 利用Get-EventLog
• 用於wevtutil原始 EVTX 日誌

這些命令可以在 PowerShell 或 Windows 終端機中執行。

1]使用Get-WinEvent

將系統日誌直接匯出到. csv 文件，可以使用以下命令：

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv"-NoTypeInformation

在本例中，LogName System指的是系統產生的日誌，以 CSV 格式匯出。

如果您希望以 .csv 格式擷取過去 24 小時的日誌，您可以執行：

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv"-NoTypeInformation

2]使用取得事件日誌

若要將應用程式日誌直接匯出到文字文件，請使用以下命令：

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

此處，LogName Application表示為應用程式建立的日誌，輸出儲存為純文字檔案。

3]使用 wevtutil 取得原始 EVTX 日誌

EVTX 檔案代表以專有格式格式化的 Windows 事件日誌檔案。 Windows 事件日誌服務所使用的 evtx 樣式。這些檔案可作為記錄各種事件的儲存庫，例如作業系統和已安裝的應用程式產生的系統錯誤、應用程式問題和安全性審核。

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

這裡epl表示匯出日誌，該命令以原始 EVTX 格式輸出日誌。建立 EVTX 檔案的優點之一是可以在事件檢視器中立即存取。

希望這些資訊對您有所幫助。

如何存取 EVTX 檔案？

各種工具使您能夠開啟和分析 EVTX 檔案；然而，最受歡迎的方法是透過事件檢視器，它是 Windows 中的內建應用程序，可方便查看和解釋事件日誌。若要啟動它，請按 Win + R，鍵入eventvwr，然後選擇「開啟已儲存的日誌」功能以載入外部 EVTX 檔案。

是否可以將 EVTX 檔案轉換為 CSV？

是的，EVTX 檔案可以轉換為更易於管理的格式，例如 CSV 或純文本，以簡化分析。您可以利用Get-WinEventPowerShell 中的 cmdlet 提取特定事件資料並將其匯出到 CSV 檔案中，也可以使用 Evtx2Json 或 Log Parser 等工具。

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv"-NoTypeInformation