Windows-gebeurtenislogboeken exporteren met PowerShell

Windows Gebeurtenislogboeken Exporteren Met Powershell



Windows biedt twee opdrachten waarmee iedereen met beheerdersrechten Windows-gebeurtenislogboeken kan exporteren met PowerShell. Het proces is eenvoudig, maar kan op meerdere manieren worden uitgevoerd met behulp van de cmdlets Get-WinEvent of Get-EventLog, afhankelijk van de versie van Windows.



 Windows-gebeurtenislogboeken exporteren met PowerShell





Windows-gebeurtenislogboeken exporteren met PowerShell

Hier zijn de drie opdrachten om Even-logboeken te extraheren met PowerShell.





  • Get-WinEvent gebruiken
  • Get-EventLog gebruiken
  • Wevtutil gebruiken voor Raw EVTX-logboeken

U kunt deze opdrachten uitvoeren op PowerShell of Windows Terminal.



1] Get-WinEvent gebruiken

 Systeemlogboek Windows

kernelbeveiligingscontrole mislukt

Het systeemlogboek rechtstreeks naar een .csv-bestand exporteren:

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Hier betekent de LogName System logboeken die voor het systeem zijn gegenereerd en worden geëxporteerd in het CSV-formaat.



Als je logbestanden van de afgelopen 24 uur in .csv-formaat wilt:

hoe u kunt controleren of Windows 10 is geactiveerd
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

2] Get-EventLog gebruiken

 Applicatielogboek Windows

Het applicatielogboek rechtstreeks naar een txt-bestand exporteren:

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Hier LogName-toepassing: specificeert de logboeken gegenereerd voor toepassingen . De uitvoer wordt opgeslagen als gewoon tekstbestand.

Lezen : Hoe u het gebeurtenislogboek in Windows kunt wissen

3] Wevtutil gebruiken voor Raw EVTX-logboeken

 Beveiligingslogvensters

EVTX-bestanden zijn Windows-gebeurtenislogboek bestanden die zijn opgeslagen in het eigen .evtx-formaat dat wordt gebruikt door de Windows Event Log-service. Ze dienen als opslagplaats voor het vastleggen van gebeurtenissen (bijvoorbeeld systeemgebeurtenissen, applicatiefouten, beveiligingsaudits) die worden gegenereerd door het besturingssysteem en geïnstalleerde applicaties.

wevtutil epl Security "C:\LogsSecurityLog.evtx"

EPL staat hier voor Exportlog. De bovenstaande opdracht Outputs logt in hun onbewerkte, oorspronkelijke EVTX-formaat. Het beste deel van het genereren van een EVTX-bestand is dat u het rechtstreeks in de gebeurtenisviewer kunt openen.

Ik hoop dat dit helpt.

spotify crasht windows 10

Hoe EVTX-bestanden openen?

EVTX-bestanden kunnen met verschillende tools worden geopend en geanalyseerd. De meest gebruikelijke methode is via Event Viewer, een ingebouwde Windows-toepassing waarmee u de gebeurtenislogboeken kunt bekijken en interpreteren. Om toegang te krijgen, drukt u op Win + R, typt u evenementvwr en open de optie “Open Saved Log” om externe EVTX-bestanden te laden.

Lezen: Aangepaste weergaven maken in Logboeken op Windows

Kunnen EVTX-bestanden worden geconverteerd naar CSV?

EVTX-bestanden kunnen worden geconverteerd naar meer toegankelijke formaten zoals CSV of platte tekst voor eenvoudigere analyse. U kunt de cmdlet Get-WinEvent in PowerShell gebruiken om specifieke gebeurtenisgegevens te extraheren en deze naar een CSV-bestand te exporteren met behulp van WinEvent of tools zoals Evtx2Json of Log-parser .

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Lezen : Hoe beheerlogbestanden te exporteren in Windows 11 .

Populaire Berichten