Конвертирование формата evtx в log
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились устанавливать и настраивать роутер Mikrotik в небольшом офисе, научились его защищать. Двигаемся дальше и сегодня я вас хотел бы научить преобразовывать журналы событий Windows в формате evtx в формат log, который можно загрузить например в другие парсеры логов. Думаю каждый сможет найти применение данному методу в своих практических задачах.
Что за формат файлов evtx
Не так давно я вам делал подробную, обзорную статью, о том, как просматривать логи событий в Windows. Данный навык является базовым для системного администратора или продвинутого пользователя, так как позволял быстро локализовать и найти причину ошибок, синего экрана или других сбоев, которые очень часто появляются в данной операционной системе, что далеко ходить, достаточно вспомнить черные экраны или ситуации, когда пропадает звук в Windows 10, данный список очень масштабный.
Файлы формата evtx - это специальный тектово-архивный формат хранения файлов в которых содержатся все события операционной системы Windows. Открывать формат evtx можно с помощью оснастки "Просмотр событий". Для того, чтобы вы могли их посмотреть в других специализированных утилитах, вам необходимо их конвертировать в другой формат.
Формат LOG является более распространенным форматом для хранения различных событий и открывается большим количеством приложений. Поэтому я вас хочу научить, как буквально в одну команду вы можете преобразовывать формат EVTX в LOG.
Скачивание и установка LogParser 2.2
LogParser (Анализатор журналов) - это мощный универсальный инструмент, который обеспечивает универсальный доступ к запросам к текстовым данным, таким как файлы журналов, файлы XML и CSV, а также к ключевым источникам данных в операционной системе Windows, таким как журнал событий, реестр, файловая система и Active Directory. Так же он умеет производить конвертирование форматов. Чтобы загрузить LogParser 2.2 перейдите по ссылке:
Запускаем файл LogParser.msi, у вас будет запущен мастер установки "Log Parcer 2.2 Setup Wizard". Нажимаем сразу "Next".
Соглашаемся с лицензионным соглашением, выставив пункт "I accept the terms in the License Agreement".
Достаточно выбрать режим "Complete".
Далее нажимаем "Install".
Установка LogParser 2.2 завершена.
В результате чего у вас по пути "C:\Program Files (x86)\Log Parser 2.2" будет установлена утилита командной строки.
Теперь для тестирования я со своего контроллера домена сохраню логи из журнала система в формате evtx. Делается это через правый клик и выбор пункта меню "Сохранить все события как".
задайте имя и месторасположение файла.
Далее вам необходимо выполнить вот такой скрипт в PowerShell, единственное указав какой файл вы будите конвертировать. В моем примере файл лежит по пути "C:\scripts\system.evtx", а так же задайте папку куда будет сохранен файл в формате log. Я для тестирования открою PowerShell в режиме ISE.
$query = "SELECT * INTO C:\scripts\logs.log FROM C:\scripts\system.evtx"
& $logparser -i:evt -o:csv $query
В результате вы видите. что скрипт успешно отработал и утилита LogParser 2.2 произвела конвертирование файла логов из формата evtx в log. Проверяем, что файл открывается, например простым блокнотом.
Пробую открыть файл в "Configuration Manager Tracelog Tool". Как видно, все отлично читается.
Конвертирование evtx в log через LogViewPlus
LogViewPlus - это очень удобный инструмент по работе с файлами журналов Windows и не только. Утилита полностью бесплатная. LogViewPlus умеет:
- С LogViewPlus вы можете открыть столько файлов журнала, сколько вам нужно, и нажать одну кнопку, чтобы объединить их. Объединенные записи файла журнала автоматически сортируются по дате, поэтому информация представляется записываемой одним процессом. Объединение файлов журнала поможет вам лучше понять, как несколько процессов взаимодействуют друг с другом.
- Быстрые фильтры данных журнала лучше, чем поиск, потому что фильтры могут быть связаны. Например, вы можете сузить файл журнала до определенной цепочки, а затем выполнить поиск только в этой цепочке. Фильтры также могут применяться автоматически при настройке файла журнала. Это похоже на работу tail и grep, но полностью переработано для Windows.
- Вы можете открывать файлы более 4 ГБ - LogViewPlus любит большие файлы журналов и может открыть файл журнала 500 МБ примерно за 30 секунд (в зависимости от вашего оборудования). Открытие больших файлов ограничено только объемом памяти, который у вас есть на вашем компьютере. LogViewPlus может разделить файл на части и позволить вам решить, какой блок вам интересен. Вы даже можете открыть несколько частей и затем объединить свои журналы по мере необходимости.
- LogViewPlus обрабатывает обновления файла журнала в реальном времени с помощью функциональности, аналогичной команде Unix 'tail', которая отслеживает записи журнала по мере их записи в файл журнала. Это означает, что вы сразу видите новые записи в вашем журнале просмотра. Не нужно возиться с кнопкой обновления. Хвост файлы журнала в окнах, как профи. Командная строка не требуется.
- LogViewPlus включает встроенную поддержку таких технологий, как SFTP, FTP, SCP и SSL, а также подключенные диски и общие ресурсы Samba. Теперь вы можете читать и записывать все свои файлы журналов в Windows без запуска сеанса telnet.
- LogViewPlus поддерживает подсветку синтаксиса для всех записей журнала. LogViewPlus может даже распечатывать записи журнала, содержащие XML или JSON.
После установки LogViewPlus вам нужно открыть ваш файл в формате evtx. Далее находите кнопку "Export log Entries".
Задаете имя экспортируемого файла в формате log и нажимаете сохранить.
Конвертирование evtx в log через wevtutil
wevtutil - это встроенная в Windows утилита. Позволяет получать информацию о журналах событий и издателях. Эту команду также можно использовать для установки и удаления манифестов событий, для выполнения запросов, а также для экспорта, архивирования и очистки журналов. Данная утилита так же помогает в одну команду произвести преобразование формата evtx в log. Откройте командную строку и введите:
- c:\logs\seclog.evtx - файл источник
- c:\logs\seclog.log - файл назначения
На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Сделайте пожалуйста статью, какие службы .exe .dll создают временные файлы ? Для телеметрии. Их расширение .elt .evtx . Чтобы можно было удалить .exe .dll из Windows и ничего не создавалось.
На счет удалить не знаю, но отключить все это дело можно
Как запретить размножаться в системе Win11 ? Файлы .xml .elt .evtx
Скажите пожалуйста, какая служба (или процесс или .exe) отвечает за ведение логов ?
C:\Windows\PFRO.log
C:\Windows\System32\LogFiles\PunkBuster\PnkBstrA.log
C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.006
C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.007
C:\Windows\System32\LogFiles\WMI\LwtNetLog.etl
C:\Windows\System32\LogFiles\WMI\Microsoft-Windows-Rdp-Graphics-RdpIdd-Trace.etl
C:\Windows\System32\LogFiles\WMI\NetCore.etl
C:\Windows\System32\LogFiles\WMI\NtfsLog.etl
C:\Windows\System32\LogFiles\WMI\RadioMgr.etl
C:\Windows\System32\LogFiles\WMI\ReFSLog.etl
C:\Windows\Temp\Application_981C6A37-8453-0002-356E-1C985384D801.evtx
C:\Windows\Temp\Application_981C6A37-8453-0003-916D-1C985384D801.evtx
C:\Windows\Temp\Application_981C6A37-8453-0006-7274-1C985384D801.evtx
C:\Windows\Temp\Application_981C6A37-8453-0007-0D72-1C985384D801.evtx
C:\Windows\Temp\Application_981C6A37-8453-0007-A871-1C985384D801.evtx
C:\Windows\Temp\AppxErrorReport_981C6A37-8453-0002-356E-1C985384D801.txt
C:\Windows\Temp\AppxErrorReport_981C6A37-8453-0003-916D-1C985384D801.txt
C:\Windows\Temp\AppxErrorReport_981C6A37-8453-0006-7274-1C985384D801.txt
C:\Windows\Temp\AppxErrorReport_981C6A37-8453-0007-0D72-1C985384D801.txt
C:\Windows\Temp\AppxErrorReport_981C6A37-8453-0007-A871-1C985384D801.txt
Здравствуйте. А как скачать у вас? Рядом со ссылкой указано «или скачать LogParser 2.2 у меня». По ссылке не скачивается, белая полоса без текста с крестиком, который её закрывает.
добавил ссылку