Comment Exporter les Journaux d’Événements Windows avec PowerShell

Windows / Par

Introduction
Les Journaux d’Événements Windows (ou Windows Event Logs en anglais) sont des fichiers essentiels pour surveiller, diagnostiquer et analyser les activités de votre système. Que ce soit pour identifier des erreurs système, auditer des événements de sécurité ou analyser les performances des applications, ces journaux contiennent des informations cruciales. Si vous avez besoin d’exporter ces journaux pour une analyse plus approfondie, PowerShell est l’outil par excellence. Dans cet article, nous allons explorer trois méthodes différentes pour exporter les Journaux d’Événements Windows avec PowerShell : en utilisant Get-WinEvent, Get-EventLog et wevtutil.

Pourquoi Exporter les Journaux d’Événements Windows ?

Les Journaux d’Événements Windows sont une mine d’informations sur le fonctionnement de votre système. Ils peuvent inclure :

  • Erreurs système : Problèmes matériels ou logiciels.
  • Alertes de sécurité : Événements liés à la sécurité, comme les connexions ou les tentatives d’accès.
  • Informations sur les applications : Logs générés par les applications installées.

Exporter ces journaux vous permet de :

  • Diagnostiquer des problèmes : Identifier les erreurs système ou les problèmes d’applications.
  • Auditer les activités : Surveiller les événements de sécurité et les activités utilisateur.
  • Analyser les données : Utiliser les journaux pour des rapports ou des analyses plus approfondies.

Comment Exporter les Journaux d’Événements avec PowerShell ?

Voici trois méthodes pour exporter les Journaux d’Événements Windows avec PowerShell. Vous pouvez exécuter ces commandes dans PowerShell ou dans le Terminal Windows.

1. Utiliser Get-WinEvent

Utiliser Get-WinEvent pour Journaux d'Événements Windows

La cmdlet Get-WinEvent est l’une des méthodes les plus couramment utilisées pour exporter les journaux d’événements. Elle permet d’extraire des journaux spécifiques et de les exporter dans différents formats.

Exemple 1 : Exporter le journal système au format CSV

Get-WinEvent -LogName System | Export-Csv -Path « C:\Logs\SystemLog.csv » -NoTypeInformation

  • LogName System : Spécifie les journaux générés pour le système.
  • Export-Csv : Exporte les données au format CSV.

Exemple 2 : Exporter les journaux de l’application des dernières 24 heures au format CSV

Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path « C:\Logs\ApplicationLastDay.csv » -NoTypeInformation

  • -StartTime : Limite les journaux aux événements des dernières 24 heures.

2. Utiliser Get-EventLog

Utiliser Get-EventLog pour les Journaux d'Événements Windows

La cmdlet Get-EventLog est une autre méthode pour exporter les journaux d’événements. Elle est plus simple et convient aux versions plus anciennes de Windows.

Exemple : Exporter le journal des applications au format TXT

Get-EventLog -LogName Application | Out-File -FilePath « C:\Logs\ApplicationLog.txt »

  • LogName Application : Spécifie les journaux générés pour les applications.
  • Out-File : Exporte les données dans un fichier texte brut.

3. Utiliser wevtutil pour les Fichiers EVTX Bruts

Utiliser wevtutil pour les Fichiers EVTX Bruts pour les Journaux d'Événements Windows

Les fichiers EVTX sont les fichiers de journaux d’événements natifs de Windows, au format .evtx. Ils contiennent des informations détaillées sur les événements système, les erreurs d’applications et les audits de sécurité.

Exemple : Exporter le journal de sécurité au format EVTX

wevtutil epl Security « C:\Logs\SecurityLog.evtx »

  • epl : Signifie « Export log ».
  • Security : Spécifie le journal de sécurité.
  • C:\Logs\SecurityLog.evtx : Chemin où le fichier sera enregistré.

Avantage des fichiers EVTX :

  • Vous pouvez ouvrir directement les fichiers EVTX dans l’Observateur d’événements pour une analyse détaillée.

Comment Ouvrir les Fichiers EVTX ?

Les fichiers EVTX peuvent être ouverts et analysés à l’aide de plusieurs outils. Le plus courant est l’Observateur d’événements de Windows.

Étapes pour ouvrir un fichier EVTX :

  1. Appuyez sur Win + R pour ouvrir la boîte de dialogue « Exécuter ».
  2. Tapez eventvwr et appuyez sur Entrée.
  3. Dans l’Observateur d’événements, allez dans Fichier > Ouvrir le journal enregistré.
  4. Sélectionnez le fichier EVTX que vous avez exporté et ouvrez-le.

Convertir les Fichiers EVTX en CSV

Si vous préférez travailler avec des fichiers CSV pour une analyse plus facile, vous pouvez convertir les fichiers EVTX en CSV à l’aide de PowerShell.

Exemple : Convertir les journaux d’applications en CSV

Get-WinEvent -LogName Application | Export-Csv -Path « C:\Logs\ApplicationLog.csv » -NoTypeInformation

Autres outils pour la conversion :

  • Evtx2Json : Convertit les fichiers EVTX en JSON.
  • Log Parser : Un outil puissant pour analyser et convertir les journaux.

Conclusion

Exporter les Journaux d’Événements Windows avec PowerShell est une tâche simple et efficace qui vous permet de surveiller, diagnostiquer et analyser les activités de votre système. Que vous utilisiez Get-WinEvent, Get-EventLog ou wevtutil, ces méthodes vous offrent la flexibilité nécessaire pour extraire et analyser les données dont vous avez besoin. N’oubliez pas de partager cet article avec vos collègues ou amis qui pourraient également trouver ces informations utiles.

Voir aussi notre article sur : Comment utiliser IPConfig RegisterDNS sous Windows

Articles similaires :

  1. Télécharger Windows 10 gratuit ISO avec clé d’activation
  2. Comment vérifier si Windows 10 a installé le Bluetooth
  3. Comment ouvrir le gestionnaire de services Windows 10
  4. Comment supprimer un disque virtuel dans Windows 10

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *