Конвертирование формата evtx в log

Конвертирование формата evtx в log

evtx to log

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились устанавливать и настраивать роутер Mikrotik в небольшом офисе, научились его защищать. Двигаемся дальше и сегодня я вас хотел бы научить преобразовывать журналы событий Windows в формате evtx  в формат log, который можно загрузить например в другие парсеры логов. Думаю каждый сможет найти применение данному методу в своих практических задачах.

Что за формат файлов evtx

Не так давно я вам делал подробную, обзорную статью, о том, как просматривать логи событий в Windows. Данный навык является базовым для системного администратора или продвинутого пользователя, так как позволял быстро локализовать и найти причину ошибок, синего экрана или других сбоев, которые очень часто появляются в данной операционной системе, что далеко ходить, достаточно вспомнить черные экраны или ситуации, когда пропадает звук в Windows 10, данный список очень масштабный.

Файлы формата evtx - это специальный тектово-архивный формат хранения файлов в которых содержатся все события операционной системы Windows. Открывать формат evtx можно с помощью оснастки "Просмотр событий". Для того, чтобы вы могли их посмотреть в других специализированных утилитах, вам необходимо их конвертировать в другой формат.

Формат LOG является более распространенным форматом для хранения различных событий и открывается большим количеством приложений. Поэтому я вас хочу научить, как буквально в одну команду вы можете преобразовывать формат EVTX в LOG.

Скачивание и установка LogParser 2.2

LogParser (Анализатор журналов) - это мощный универсальный инструмент, который обеспечивает универсальный доступ к запросам к текстовым данным, таким как файлы журналов, файлы XML и CSV, а также к ключевым источникам данных в операционной системе Windows, таким как журнал событий, реестр, файловая система и Active Directory. Так же он умеет производить конвертирование форматов. Чтобы загрузить LogParser 2.2 перейдите по ссылке:

https://www.microsoft.com/en-us/download/details.aspx?id=24659 или скачать LogParser 2.2 у меня

Скачивание LogParser 2.2

Запускаем файл LogParser.msi, у вас будет запущен мастер установки "Log Parcer 2.2 Setup Wizard". Нажимаем сразу "Next".

Установка LogParser 2.2

Соглашаемся с лицензионным соглашением, выставив пункт "I accept the terms in the License Agreement".

Инсталляция LogParser 2.2

Достаточно выбрать режим "Complete".

Чем конвертировать evtx в log

Далее нажимаем "Install".

Установка утилиты для конвертации evtx в log

Установка LogParser 2.2 завершена.

Установка LogParser 2.2 завершена

В результате чего у вас по пути "C:\Program Files (x86)\Log Parser 2.2" будет установлена утилита командной строки.

Запуск Log Parser 2.2

Теперь для тестирования я со своего контроллера домена сохраню логи из журнала система в формате evtx. Делается это через правый клик и выбор пункта меню "Сохранить все события как".

Выгрузка журнала Windows в evtx

задайте имя и месторасположение файла.

Сохранение evtx файла

Далее вам необходимо выполнить вот такой скрипт в PowerShell, единственное указав какой файл вы будите конвертировать. В моем примере файл лежит по пути "C:\scripts\system.evtx", а так же задайте папку куда будет сохранен файл в формате log. Я для тестирования открою PowerShell в режиме ISE.

Конвертирование формата evtx в log

$logparser = "C:\Program Files (x86)\Log Parser 2.2\LogParser.exe"
$query = "SELECT * INTO C:\scripts\logs.log FROM C:\scripts\system.evtx"
& $logparser -i:evt -o:csv $query

В результате вы видите. что скрипт успешно отработал и утилита LogParser 2.2 произвела конвертирование файла логов из формата evtx в log. Проверяем, что файл открывается, например простым блокнотом.

Успешно преобразованный файл log из etvx

Пробую открыть файл в "Configuration Manager Tracelog Tool". Как видно, все отлично читается.

Открытие log файла в Configuration Manager Tracelog Tool

Конвертирование evtx в log через LogViewPlus

LogViewPlus - это очень удобный инструмент по работе с файлами журналов Windows и не только. Утилита полностью бесплатная. LogViewPlus умеет:

  • С LogViewPlus вы можете открыть столько файлов журнала, сколько вам нужно, и нажать одну кнопку, чтобы объединить их. Объединенные записи файла журнала автоматически сортируются по дате, поэтому информация представляется записываемой одним процессом. Объединение файлов журнала поможет вам лучше понять, как несколько процессов взаимодействуют друг с другом.
  • Быстрые фильтры данных журнала лучше, чем поиск, потому что фильтры могут быть связаны. Например, вы можете сузить файл журнала до определенной цепочки, а затем выполнить поиск только в этой цепочке. Фильтры также могут применяться автоматически при настройке файла журнала. Это похоже на работу tail и grep, но полностью переработано для Windows.
  • Вы можете открывать файлы более 4 ГБ - LogViewPlus любит большие файлы журналов и может открыть файл журнала 500 МБ примерно за 30 секунд (в зависимости от вашего оборудования). Открытие больших файлов ограничено только объемом памяти, который у вас есть на вашем компьютере. LogViewPlus может разделить файл на части и позволить вам решить, какой блок вам интересен. Вы даже можете открыть несколько частей и затем объединить свои журналы по мере необходимости.
  • LogViewPlus обрабатывает обновления файла журнала в реальном времени с помощью функциональности, аналогичной команде Unix 'tail', которая отслеживает записи журнала по мере их записи в файл журнала. Это означает, что вы сразу видите новые записи в вашем журнале просмотра. Не нужно возиться с кнопкой обновления. Хвост файлы журнала в окнах, как профи. Командная строка не требуется.
  • LogViewPlus включает встроенную поддержку таких технологий, как SFTP, FTP, SCP и SSL, а также подключенные диски и общие ресурсы Samba. Теперь вы можете читать и записывать все свои файлы журналов в Windows без запуска сеанса telnet.
  • LogViewPlus поддерживает подсветку синтаксиса для всех записей журнала. LogViewPlus может даже распечатывать записи журнала, содержащие XML или JSON.

Скачать LogViewPlus https://www.logviewplus.com/download.html

Скачивание LogViewPlus

После установки LogViewPlus вам нужно открыть ваш файл в формате evtx. Далее находите кнопку "Export log Entries".

Преобразование evtx в log через LogViewPlus

Задаете имя экспортируемого файла в формате log и нажимаете сохранить.

Конвертирование evtx в log через LogViewPlus

Конвертирование evtx в log через wevtutil

wevtutil - это встроенная в Windows утилита. Позволяет получать информацию о журналах событий и издателях. Эту команду также можно использовать для установки и удаления манифестов событий, для выполнения запросов, а также для экспорта, архивирования и очистки журналов. Данная утилита так же помогает в одну команду произвести преобразование формата evtx в log. Откройте командную строку и введите:

wevtutil epl c:\logs\seclog.evtx c:\logs\seclog.log /lf:true

  •  c:\logs\seclog.evtx - файл источник
  • c:\logs\seclog.log - файл назначения

Дополнительно про wevtutil https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil

Конвертирование evtx в log через wevtutil

На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *