这是我的PowerShell脚本,通过XML数据在事件查看器中导出自定义视图中的数据。
set-executionpolicy unrestricted [xml]$CustomView = @" <QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select> <Select Path="Security">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select> <Select Path="Setup">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select> <Select Path="System">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select> <Select Path="ForwardedEvents">*[System[(EventID=4752 or EventID=4720 or EventID=4740 or EventID=4646 or EventID=4747 or EventID=4725 or EventID=4625 or EventID=4728 or EventID=4751)]]</Select> Alot of rules etc... I excluded a couple because it was 300000 characters limited. </Query> </QueryList> "@ Get-WinEvent -FilterXML $CustomView | Export-CSV "C:\LogFiles\ServiceTool_Log_$(Get-Date -format "yyyy-MM-dd").log" 如何将我的日志导出为.evtx或.csv,以使其可读性更好?
您已经以正确的方式使用了Export-CSV cmmdlet,只需将您的扩展名更改为.txt即可。 PowerShell将会以可读的格式为您导出。 它应该是这样的:
Export-CSV "C:\LogFiles\ServiceTool_Log_$(Get-Date -format "yyyy-MM-dd").txt"
我不确定事情的.evtx方面,但是将Export-CSV转换为.txt文件将始终生成您正在提取的数据的逐行副本。
我之前曾经尝试将自定义数据导入到CSV / Excel电子表格之前引用过。
该引用提供了使用wevutil命令导出整个日志的方法。 您将不得不检查它是否适用于您的自定义视图。