Windows biedt twee opdrachten waarmee iedereen met beheerdersrechten Windows-gebeurtenislogboeken kan exporteren met PowerShell. Het proces is eenvoudig, maar kan op meerdere manieren worden uitgevoerd met behulp van de cmdlets Get-WinEvent
of Get-EventLog
, afhankelijk van de versie van Windows.
Windows-gebeurtenislogboeken exporteren met PowerShell
Hier zijn de drie opdrachten om Even-logboeken te extraheren met PowerShell.
- Get-WinEvent gebruiken
- Get-EventLog gebruiken
- Wevtutil gebruiken voor Raw EVTX-logboeken
U kunt deze opdrachten uitvoeren op PowerShell of Windows Terminal.
1] Get-WinEvent gebruiken
kernelbeveiligingscontrole mislukt
Het systeemlogboek rechtstreeks naar een .csv-bestand exporteren:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Hier betekent de LogName System logboeken die voor het systeem zijn gegenereerd en worden geëxporteerd in het CSV-formaat.
Als je logbestanden van de afgelopen 24 uur in .csv-formaat wilt:
hoe u kunt controleren of Windows 10 is geactiveerd
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Get-EventLog gebruiken
Het applicatielogboek rechtstreeks naar een txt-bestand exporteren:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Hier LogName-toepassing: specificeert de logboeken gegenereerd voor toepassingen . De uitvoer wordt opgeslagen als gewoon tekstbestand.
Lezen : Hoe u het gebeurtenislogboek in Windows kunt wissen
3] Wevtutil gebruiken voor Raw EVTX-logboeken
EVTX-bestanden zijn Windows-gebeurtenislogboek bestanden die zijn opgeslagen in het eigen .evtx-formaat dat wordt gebruikt door de Windows Event Log-service. Ze dienen als opslagplaats voor het vastleggen van gebeurtenissen (bijvoorbeeld systeemgebeurtenissen, applicatiefouten, beveiligingsaudits) die worden gegenereerd door het besturingssysteem en geïnstalleerde applicaties.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
EPL staat hier voor Exportlog. De bovenstaande opdracht Outputs logt in hun onbewerkte, oorspronkelijke EVTX-formaat. Het beste deel van het genereren van een EVTX-bestand is dat u het rechtstreeks in de gebeurtenisviewer kunt openen.
Ik hoop dat dit helpt.
spotify crasht windows 10
Hoe EVTX-bestanden openen?
EVTX-bestanden kunnen met verschillende tools worden geopend en geanalyseerd. De meest gebruikelijke methode is via Event Viewer, een ingebouwde Windows-toepassing waarmee u de gebeurtenislogboeken kunt bekijken en interpreteren. Om toegang te krijgen, drukt u op Win + R, typt u evenementvwr en open de optie “Open Saved Log” om externe EVTX-bestanden te laden.
Lezen: Aangepaste weergaven maken in Logboeken op Windows
Kunnen EVTX-bestanden worden geconverteerd naar CSV?
EVTX-bestanden kunnen worden geconverteerd naar meer toegankelijke formaten zoals CSV of platte tekst voor eenvoudigere analyse. U kunt de cmdlet Get-WinEvent
in PowerShell gebruiken om specifieke gebeurtenisgegevens te extraheren en deze naar een CSV-bestand te exporteren met behulp van WinEvent of tools zoals Evtx2Json of Log-parser .
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lezen : Hoe beheerlogbestanden te exporteren in Windows 11 .