A Windows két parancsot kínál, amelyek lehetővé teszik, hogy a rendszergazdai engedéllyel rendelkező bárki exportálja a Windows eseménynaplóit a PowerShell segítségével. A folyamat egyszerű, de többféleképpen is végrehajtható a Get-WinEvent vagy a Get-EventLog parancsmag-verziótól függően.
a képernyő kiterjesztése 8
Windows eseménynaplók exportálása a PowerShell segítségével
Íme a három parancs az egyenletes naplók PowerShell használatával történő kibontásához.
- A Get-WinEvent használata
- A Get-EventLog használata
- A wevtutil használata nyers EVTX naplókhoz
Ezeket a parancsokat futtathatja a PowerShell-en vagy a Windows Terminálon.
1] A Get-WinEvent használata
A rendszernapló exportálása közvetlenül .csv fájlba:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Itt a LogName System a System számára generált naplókat jelenti, és CSV formátumban exportál.
Ha naplókat szeretne az elmúlt 24 órából .csv formátumban:
ms word ikon hiányzik
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] A Get-EventLog használata
Az alkalmazásnapló exportálása közvetlenül txt fájlba:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Itt LogName Application: Megadja a Alkalmazásokhoz generált naplók . A kimenet egyszerű szöveges fájlként kerül mentésre.
Olvas : Az Eseménynapló törlése Windows rendszerben
Windows 10 képregényolvasó
3] A wevtutil használata nyers EVTX naplókhoz
EVTX fájlok Windows eseménynapló a Windows Eseménynapló szolgáltatás által használt, védett .evtx formátumban tárolt fájlok. Tárhelyül szolgálnak az operációs rendszer és a telepített alkalmazások által generált események (pl. rendszeresemények, alkalmazáshibák, biztonsági auditok) rögzítéséhez.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Itt az EPL a napló exportálását jelenti. A fenti parancs A kimenetek a nyers, natív EVTX formátumukban naplózzák. Az EVTX fájl létrehozásának legjobb része az, hogy közvetlenül megnyithatja azt az eseménynézőben.
Remélem ez segít.
EVTX fájlokat hogyan lehet megnyitni?
Az EVTX fájlok számos eszközzel megnyithatók és elemezhetők. A leggyakoribb módszer az Event Viewer, egy beépített Windows-alkalmazás, amely lehetővé teszi az eseménynaplók megtekintését és értelmezését. Az eléréséhez nyomja meg a Win + R billentyűkombinációt, írja be eventvwr , és nyissa meg a „Mentett napló megnyitása” opciót a külső EVTX fájlok betöltéséhez.
Olvas: Egyéni nézetek létrehozása a Windows Eseménynaplójában
Átalakíthatók az EVTX fájlok CSV formátumba?
Az EVTX fájlok könnyebben hozzáférhető formátumokká konvertálhatók, például CSV vagy egyszerű szöveges formátumokká a könnyebb elemzés érdekében. Használhatja a Get-WinEvent parancsmagot a PowerShellben konkrét eseményadatok kinyerésére és CSV-fájlba exportálására a WinEvent vagy olyan eszközök segítségével, mint Evtx2Json vagy Naplóelemző .
Windows 10 az ssd-n vs hdd
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Olvas : A felügyeleti naplófájlok exportálása a Windows 11 rendszerben .
