Windows propose deux commandes qui permettent à toute personne disposant d'une autorisation d'administrateur d'exporter les journaux d'événements Windows à l'aide de PowerShell. Le processus est simple mais peut être effectué de plusieurs manières à l’aide des applets de commande Get-WinEvent ou Get-EventLog, selon la version de Windows.
Comment exporter les journaux d'événements Windows avec PowerShell
Voici les trois commandes pour extraire les journaux Even à l'aide de PowerShell.
- Utilisation de Get-WinEvent
- Utilisation de Get-EventLog
- Utilisation de wevtutil pour les journaux EVTX bruts
Vous pouvez exécuter ces commandes sur PowerShell ou Windows Terminal.
1] Utilisation de Get-WinEvent
Exportation du journal système directement vers un fichier .csv :
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Ici, le LogName System signifie les journaux générés pour le système et il est exporté au format CSV.
Si vous souhaitez les journaux des dernières 24 heures au format .csv :
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Utilisation de Get-EventLog
microsoft store netflix
Exportation du journal des applications directement vers un fichier txt :
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Ici LogName Application : Spécifie le journaux générés pour les applications . La sortie est enregistrée sous forme de fichier texte brut.
Lire : Comment effacer le journal des événements sous Windows
3] Utilisation de wevtutil pour les journaux Raw EVTX
Les fichiers EVTX sont Journal des événements Windows fichiers stockés au format propriétaire .evtx utilisé par le service Windows Event Log. Ils servent de référentiel pour enregistrer les événements (par exemple, les événements système, les erreurs d'application, les audits de sécurité) générés par le système d'exploitation et les applications installées.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Ici, EPL signifie Export log. La commande ci-dessus génère les journaux dans leur format EVTX brut et natif. La meilleure partie de la génération d'un fichier EVTX est que vous pouvez l'ouvrir directement dans l'observateur d'événements.
J'espère que cela aide.
Comment ouvrir les fichiers EVTX?
Les fichiers EVTX peuvent être ouverts et analysés à l'aide de plusieurs outils. La méthode la plus courante consiste à utiliser l'Observateur d'événements, une application Windows intégrée qui vous permet d'afficher et d'interpréter les journaux d'événements. Pour y accéder, appuyez sur Win + R, tapez événementvwr , et ouvrez l'option « Ouvrir le journal enregistré » pour charger des fichiers EVTX externes.
Lire: Comment créer des vues personnalisées dans l'Observateur d'événements sous Windows
Les fichiers EVTX peuvent-ils être convertis en CSV ?
Les fichiers EVTX peuvent être convertis en formats plus accessibles comme CSV ou texte brut pour une analyse plus facile. Vous pouvez utiliser l'applet de commande Get-WinEvent dans PowerShell pour extraire des données d'événement spécifiques et les exporter vers un fichier CSV à l'aide de WinEvent ou d'outils tels que Evtx2Json ou Analyseur de journaux .
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Lire : Comment exporter les fichiers journaux de gestion dans Windows 11 .
