如何使用 PowerShell 导出 Windows 事件日志

Windows 提供了两个命令，允许具有管理员权限的任何人使用 PowerShell 导出 Windows 事件日志。该过程很简单，但可以使用多种方式完成Get-WinEvent或者Get-EventLogcmdlet，具体取决于 Windows 版本。

如何使用 PowerShell 导出 Windows 事件日志

以下是使用 PowerShell 提取 Even 日志的三个命令。

• 使用 Get-WinEvent
• 使用获取事件日志
• 使用 wevtutil 获取原始 EVTX 日志

您可以在 PowerShell 或 Windows 终端上运行这些命令。

1]使用Get-WinEvent

将系统日志直接导出到 .csv 文件：

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

这里的LogName System是指为系统生成的日志，它以CSV格式导出。

如果您想要过去 24 小时内的 .csv 格式的日志：

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2]使用获取事件日志

将应用程序日志直接导出到txt文件：

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

此处 LogName 应用程序：指定。输出保存为纯文本文件。

读:

3]使用 wevtutil 获取原始 EVTX 日志

EVTX 文件是以 Windows 事件日志服务使用的专有 .evtx 格式存储的文件。它们充当记录由操作系统和安装的应用程序生成的事件（例如，系统事件、应用程序错误、安全审核）的存储库。

wevtutil epl Security "C:\LogsSecurityLog.evtx"

这里，EPL 代表导出日志。上述命令以原始的本机 EVTX 格式输出日志。生成 EVTX 文件的最佳部分是您可以直接在事件查看器中打开它。

我希望这有帮助。

如何打开 EVTX 文件？

可以使用多种工具打开和分析 EVTX 文件。最常见的方法是通过事件查看器，这是一个内置的 Windows 应用程序，可让您查看和解释事件日志。要访问它，请按 Win + R，输入事件VWR，然后打开“打开保存的日志”选项以加载外部 EVTX 文件。

读：

EVTX 文件可以转换为 CSV 吗？

EVTX 文件可以转换为更易于访问的格式，例如 CSV 或纯文本，以便于分析。您可以使用Get-WinEventPowerShell 中的 cmdlet 可提取特定事件数据并使用 WinEvent 或类似工具将其导出到 CSV 文件Evtx2Json或者日志解析器。

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

读：。