Comment exporter les journaux d'événements Windows avec PowerShell

Windows offre deux cmdlets PowerShell, `Get-WinEvent` et `Get-EventLog`, permettant aux administrateurs d'exporter facilement des journaux d'événements dans divers formats.

Windows propose deux commandes permettant à toute personne disposant des droits d'administrateur d'exporter les journaux d'événements de Windows en utilisant PowerShell. Le processus est simple mais peut être effectué de plusieurs manières à l'aide des cmdlets Get-WinEvent ou Get-EventLog, selon la version de Windows.

Comment exporter les journaux d'événements Windows avec PowerShell

Voici les trois commandes pour extraire les journaux d'événements à l'aide de PowerShell.

  • Utiliser Get-WinEvent
  • Utiliser Get-EventLog
  • Utiliser wevtutil pour les journaux EVTX bruts

Vous pouvez exécuter ces commandes dans PowerShell ou Windows Terminal.

Utiliser Get-WinEvent

Exporter le journal système directement vers un fichier .csv :

Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation

Ici, le LogName System signifie les journaux générés pour le système, et il est exporté au format CSV.

Si vous souhaitez les journaux des dernières 24 heures au format .csv :

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation

Utiliser Get-EventLog

Exporter le journal d'application directement vers un fichier txt :

Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"

Ici, LogName Application : Spécifie les journaux générés pour les applications. La sortie est sauvegardée en tant que fichier texte brut.

Utiliser wevtutil pour les journaux EVTX bruts

Les fichiers EVTX sont des fichiers journaux d'événements Windows stockés au format propriétaire .evtx utilisé par le service de journaux d'événements de Windows. Ils servent de répertoire pour enregistrer les événements (par exemple, les événements système, les erreurs d'application, les audits de sécurité) générés par le système d'exploitation et les applications installées.

wevtutil epl Security "C:\Logs\SecurityLog.evtx"

Ici, EPL signifie Export log. La commande ci-dessus exporte les journaux dans leur format EVTX brut et natif. Le meilleur aspect de la génération d'un fichier EVTX est que vous pouvez l'ouvrir directement dans le visionneur d'événements.

J'espère que cela vous aide.

Comment ouvrir des fichiers EVTX ?

Les fichiers EVTX peuvent être ouverts et analysés à l'aide de plusieurs outils. La méthode la plus courante est via le Visionneur d'événements, une application Windows intégrée qui vous permet de visualiser et d'interpréter les journaux d'événements. Pour y accéder, appuyez sur Win + R, tapez eventvwr, et ouvrez l’option “Ouvrir le journal enregistré” pour charger des fichiers EVTX externes.

Les fichiers EVTX peuvent-ils être convertis en CSV ?

Les fichiers EVTX peuvent être convertis en formats plus accessibles comme CSV ou texte brut pour une analyse plus facile. Vous pouvez utiliser la cmdlet Get-WinEvent dans PowerShell pour extraire des données d'événements spécifiques et les exporter vers un fichier CSV à l'aide de WinEvent ou d'outils comme Evtx2Json ou Log Parser.

Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation

Questions et réponses importantes à connaître

Comment obtenir le journal des événements Windows dans PowerShell  ?

Pour obtenir le journal des événements Windows dans PowerShell, vous pouvez utiliser l'applet de commande Get-WinEvent. Voici comment procéder :

 

  • Ouvrir PowerShell :
      - Recherchez 'PowerShell' dans le menu Démarrer et ouvrez-le.
  • Utiliser Get-WinEvent :
  • Pour afficher tous les journaux d'événements, tapez la commande suivante : Get-WinEvent -ListLog *
  • Pour consulter les événements d'un journal spécifique (par exemple, le journal Application) : Get-WinEvent -LogName Application
  • Filtrer les résultats (facultatif) :
  • Vous pouvez filtrer les événements selon divers critères, comme la date ou l'ID d'événement. Par exemple : Get-WinEvent -LogName Application | Where-Object { $_.TimeCreated -ge (Get-Date).AddDays(-7) }
  • Cette commande affichera les événements des 7 derniers jours.
  • Exporter les événements (facultatif) :
  • Si vous souhaitez exporter les résultats dans un fichier, utilisez : Get-WinEvent -LogName Application | Export-Csv -Path 'C:\chemin\vers\journal.csv' -NoTypeInformation En suivant ces étapes, vous pourrez rapidement accéder et gérer les journaux d'événements Windows via PowerShell.

 

Comment extraire les journaux d’événements Windows  ?

Pour extraire les journaux d’événements Windows, suivez ces étapes :

 

  • Accédez au menu Démarrer.
  • Ouvrez le Panneau de configuration.
  • Cliquez sur Système et sécurité.
  • Sélectionnez Outils d'administration.
  • Double-cliquez sur Observateur d'événements.
  • Dans l'Observateur d'événements, choisissez le type de journaux que vous souhaitez consulter, comme les Journaux Windows. En quelques clics, vous pouvez naviguer à travers les différents journaux pour analyser les événements système, les erreurs ou les notifications.

 

Où trouver le journal des événements Windows ?

Pour accéder au journal des événements Windows, suivez ces étapes :

 

  • Ouvrir le Menu Démarrer : Cliquez sur le bouton Démarrer de votre bureau.
  • Accéder au Panneau de configuration : Sélectionnez l'option 'Panneau de configuration'.
  • Ouvrir Outils d'administration : Double-cliquez sur 'Outils d'administration'.
  • Lancer Visualiseur d'événements : Double-cliquez sur 'Visualiseur d'événements'.
  • Explorer les journaux : Dans le volet gauche, développez 'Journaux Windows'. Vous pourrez ainsi consulter les événements système, de sécurité et d’application.

 

Comment récupérer les logs Windows ?

Pour récupérer les logs Windows, suivez ces étapes simples :

 

  • Accéder à l'Observateur d'événements :
      - Ouvrez la barre de recherche de Windows.
  • Tapez 'Observateur d'événements' et sélectionnez l'application.
  • Consulter les journaux :
  • Dans l'onglet gauche, développez le dossier Enregistrements Windows.
  • Sélectionnez Applications pour afficher les logs des événements liés aux applications.
  • Analyser les logs :
  • Parcourez les événements pour identifier les erreurs ou les alertes.
  • Vous pouvez filtrer les événements en fonction de critères spécifiques pour une recherche plus efficace. Ces étapes vous permettront d'accéder rapidement aux journaux d'événements de Windows et de diagnostiquer d'éventuels problèmes.

 

Maintenant que tu as fini de lire Comment exporter les journaux d'événements Windows avec PowerShell, nous t'invitons à explorer davantage la catégorie Tutoriels. Tu y trouveras d'autres articles intéressants qui élargiront tes connaissances et te tiendront informé. Ne cesse pas de lire et de découvrir plus!

Index
  1. Comment exporter les journaux d'événements Windows avec PowerShell
    1. Comment ouvrir des fichiers EVTX ?
    2. Les fichiers EVTX peuvent-ils être convertis en CSV ?
  2. Questions et réponses importantes à connaître
    1. Comment obtenir le journal des événements Windows dans PowerShell  ?
    2. Comment extraire les journaux d’événements Windows  ?
    3. Où trouver le journal des événements Windows ?
    4. Comment récupérer les logs Windows ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up