Windows 提供了兩個命令,允許具有管理員權限的任何人使用 PowerShell 匯出 Windows 事件日誌。過程很簡單,但可以使用多種方式完成Get-WinEvent或者Get-EventLogcmdlet,取決於 Windows 版本。
如何使用 PowerShell 匯出 Windows 事件日誌
以下是使用 PowerShell 提取 Even 日誌的三個命令。
- 使用 Get-WinEvent
- 使用取得事件日誌
- 使用 wevtutil 取得原始 EVTX 日誌
您可以在 PowerShell 或 Windows 終端機上執行這些命令。
1]使用Get-WinEvent
將系統日誌直接匯出到 .csv 檔案:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
這裡的LogName System是指為系統產生的日誌,它以CSV格式匯出。
如果您想要過去 24 小時內的 .csv 格式的日誌:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2]使用取得事件日誌
將應用程式日誌直接匯出到txt檔案:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
此處 LogName 應用程式:指定。輸出儲存為純文字檔案。
讀:
3]使用 wevtutil 取得原始 EVTX 日誌
EVTX 檔案是以 Windows 事件日誌服務使用的專有 .evtx 格式儲存的檔案。它們可作為記錄由作業系統和安裝的應用程式產生的事件(例如,系統事件、應用程式錯誤、安全性審核)的儲存庫。
wevtutil epl Security "C:\LogsSecurityLog.evtx"
這裡,EPL 代表匯出日誌。上述指令以原始的本機 EVTX 格式輸出日誌。產生 EVTX 檔案的最佳部分是您可以直接在事件檢視器中開啟它。
我希望這有幫助。
如何開啟 EVTX 檔案?
可以使用多種工具開啟和分析 EVTX 檔案。最常見的方法是透過事件檢視器,這是一個內建的 Windows 應用程序,可讓您檢視和解釋事件日誌。要存取它,請按 Win + R,輸入事件VWR,然後開啟「開啟已儲存的日誌」選項以載入外部 EVTX 檔案。
讀:
EVTX 檔案可以轉換為 CSV 嗎?
EVTX 檔案可以轉換為更易於存取的格式,例如 CSV 或純文本,以便於分析。您可以使用Get-WinEventPowerShell 中的 cmdlet 可提取特定事件資料並使用 WinEvent 或類似工具將其匯出至 CSV 文件Evtx2Json或者日誌解析器。
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
讀:。
