Назад | Перейти на главную страницу

Скрипт для экспорта пользовательского просмотра событий в формате .evtx Powershell

Это мой сценарий PowerShell для экспорта данных из настраиваемого представления в средстве просмотра событий через данные XML.

set-executionpolicy unrestricted

[xml]$CustomView = @"
<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select>
    <Select Path="Security">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select>
    <Select Path="Setup">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select>
    <Select Path="System">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select>
    <Select Path="ForwardedEvents">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select>

Alot of rules etc... I excluded a couple because it was 300000 characters limited.

  </Query>
</QueryList>
"@

Get-WinEvent -FilterXML $CustomView | Export-CSV "C:\LogFiles\ServiceTool_Log_$(Get-Date -format "yyyy-MM-dd").log"

Как я могу экспортировать журнал в формате .evtx или .csv, чтобы сделать его удобочитаемым?

Вы уже правильно используете командлет Export-CSV, вам просто нужно изменить расширение на .txt. PowerShell экспортирует его в удобочитаемый формат. Должно получиться так:

Export-CSV "C:\LogFiles\ServiceTool_Log_$(Get-Date -format "yyyy-MM-dd").txt"

Я не уверен насчет того, что касается .evtx, но выполнение Export-CSV в .txt всегда будет создавать построчную реплику данных, которые вы извлекаете.

Я сослался этот раньше при попытке получить пользовательские данные в таблицу CSV / Excel и раньше.

Эта ссылка предоставляет способ экспортировать весь журнал с помощью команда wevutil. Вам нужно будет проверить, работает ли он в вашем пользовательском представлении или нет.