Comment exporter les journaux d'événements Windows avec PowerShell

Si vous disposez de privilèges d'administrateur dans Windows, vous pouvez exporter les journaux d'événements Windows à l'aide de PowerShell avec seulement deux commandes. Il existe plusieurs façons d'effectuer cette tâche simple, selon la version de Windows, à l'aide de l'applet de commande Get-WinEvent ou Get-EventLog.

Comment utiliser PowerShell pour exporter les journaux d'événements système

En utilisant PowerShell, vous pouvez extraire les journaux Even en suivant ces trois instructions.

Utilisation de Get-WinEvent

L'utilisation de Get-EventLog

Utilisation de wevtutil pour obtenir des données EVTX brutes

Cela peut être exécuté à partir du terminal Windows ou de PowerShell.

Vous pouvez utiliser Get-WinEvent pour exporter le journal système vers un fichier .csv:

Exécutez la commande suivante: Get-WinEvent -LogName System | Export-Csv -Path "C:\LogSystem\Log.csv" -NoTypeInformation

LogName System correspond aux journaux système exportés au format CSV.

Si vous voulez un fichier .csv avec les journaux des dernières 24 heures:

Exécutez Get-WinEvent avec les paramètres LogName, Application et StartTime Get-Date ****Export-Csv -Path "C:LogsApplicationLastDay.csv" -NoTypeInformation****, AddDays(-1) **** Exportez directement le journal d'application vers un fichier texte à l'aide de Get-EventLog :

« C:LogApplicationLog.txt » Il s'agit du chemin d'accès au fichier journal de l'application tel que spécifié par le paramètre « LogName Application » dans la commande Get-EventLog. La sortie sera enregistrée sous forme de fichier texte simple.

Voir:Guide de suppression du journal des événements Windows

Objet: Journaux EVTX complets à l'aide de wevtutil-

Le service Journal des événements Windows utilise son propre format propriétaire, .evtx, pour stocker les fichiers appelés journaux des événements Windows ou fichiers EVTX. Ils stockent des informations sur les événements créés par le système d'exploitation et les applications, tels que les événements système, les problèmes d'application et les audits de sécurité.

Sécurité «C:LogsSecurityLog.evtx» créé par wevtutil epl.

Ici, « EPL » est le journal d'exportation. La commande ci-dessus génère les journaux au format EVTX brut par défaut. L'avantage de la génération d'un fichier EVTX est qu'il peut être ouvert directement dans l'observateur d'événements.

Cordialement.

Comment ouvrir un fichier EVTX ?

Le format de fichier EVTX peut être ouvert et étudié avec plusieurs programmes différents. Parmi les moyens les plus fréquents de visualiser et de comprendre les journaux d'événements, il faut mentionner l'outil Event Viewer, intégré à Windows. Vous pourrez charger un fichier EVTX en externe avec Event Viewer en appuyant sur Win + R, en tapant eventvwr, puis en sélectionnant "Open Saved Log" à partir de celui-ci.

Avec ces étapes, vous pourrez certainement exporter facilement les journaux d’événements Windows avec PowerShell.