Query and export windows event logs using powershell

Reading Available EventLog Name using PowerShell

So let’s start the fun with the basics. The main command we will use is Get-Winevent.The first question is the Log name we need to read, the most common cases are Application, System, Security. But if we need to see all the logs available in the system, we can run the following command.

Get-WinEvent PowerShell Cmdlet

We can see from the result above Four columns:

• LogName: the name of the Log, this is what we will use to call
• RecordCount: How many entries in this log
• MaximumSizeInBytes: the Max allowed size in Byte.
• LogMode: Define what happens when the max event log size is reached, and there are three possible settings:
  • Circular: overwrite the old logs when the max size reaches.
  • AutoBackup: Logs will be Archived and won’t be overwritten.
  • Retain: Don’t overwrite events ( you will need to clear the log manually)

Get-WinEvent: The Basics

Before we get started, don’t forget to launch your PowerShell session as
Administrator, since some of the logs (like Security) won’t be accessible
otherwise.

Like any good PowerShell cmdlet, has excellent help, including
fourteen different examples. We’re going to review a lot of the important
points, but you can always use to bring the full
help up in a browser window.

Without any parameters, returns information about every single
event in the every single event log. To get to the specific events you want, you
need to pass one or more parameters to filter the output. Here are the most
common parameters of and what they do:

• — Filters events in the specified log (think Application, Security,
  System, etc.).
• — Filters events created by the specified provider (this is
  the Source column in Event Viewer).
• — Limits the number of events returned.
• — Sorts the events returned so that the oldest ones are first. By
  default, the newest, most recent events are first.

So, by using these basic parameters, we can build commands that do things like:

Get the last 10 events from the Application log.

Get the last 5 events logged by Outlook.

Get the oldest 50 events from the Application log.

Discovering

The event logs have grown up quite a bit since the days when Application,
Security, and System were the only logs to look through. Now there are folders
full of logs. How are you going to know how to reference those logs when you’re
using ? You use the and parameters.

For example, consider the log that PowerShell Desired State Configuration (DSC)
uses. In Event Viewer, that log is located under:

If I pass that name to the parameter of , I get an
error. To find the name I need to use, I run the command:

and see that there are a couple of options. Although there is one that mentions
Desired State Configuration, it doesn’t sound like what I’m looking for. Let’s
see if the name uses the abbreviation DSC.

That looks like a much better fit. To be sure, you can always check the
properties of a log in Event Viewer and look at the file name.

Bingo.

You can pass to the or parameters to get all logs
or all providers.

Как зайти в журнал событий в windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

1. Зажатием клавиш «Win» «R» вызвать окно.
2. Прописать команду «eventvwr».
3. Нажать «OK».

А второй требует использования панели управления, где требуется:

1. Выбрать раздел «Система и безопасность».
2. Проследовать в подраздел «Администрирование».
3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

• Приложение (основная) — записи, созданные программами.
• Безопасность (основная) — сведения о безопасности системы.
• Установка (дополнительная).
• Система (основная) — сведения о работе системных компонентов.
• Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Use Basic Filter to Query and Search Event Log

The Get-WinEvent cmdlet retrieves all events from the given Event log. In some cases, this will lead to thousands of event messages, and we can’t be able to easily locate the required event. We need to apply the required filter while querying the events.

We can use the Where-Object cmdlet to filter the retrieved events. This will provide the required result, but the filters are applied after the objects are retrieved from the log. In other words, this is a client-side filter, and we may face performance degradation if the log contains a large number of events.

#Get events for last 30 days from Setup log
$StartDate = (Get-Date) - (New-TimeSpan -Day 30) 
Get-WinEvent -LogName 'Setup' | Where-Object { $_.TimeCreated -ge $StartDate }

For better performance, we can use the server-side filters supported by the Get-WinEvent cmdlet, such as FilterHashtable (Basic) and FilterXML (Advanced).

Как проверить жёсткий диск на ошибки

Все данные, записываемые на компьютер, разбиваются на небольшие фрагменты, которые размещаются на секторах жёсткого диска. В процессе работы компьютера эти секторы могут повреждаться. Повреждённые секторы и есть «ошибки» жёсткого диска. Когда жёсткий диск пытается прочесть информацию с повреждённого сектора, процесс чтения «стопорится». Результатом этого является неоправданно долгие включения компьютера и запуск некоторых программ.

Исправить повреждённые секторы нельзя, но можно запретить жёсткому диску с ними работать. Процесс поиска и исключения этих секторов называется дефрагментацией. Даже если ошибки не найдутся, в результате дефрагментации пространство на жёстком диске станет более упорядоченным, что также ускорит процесс чтения информации.

Через «Проводник»

Это основной способ проверки жёсткого диска. Windows 10 должен осуществлять её автоматически, без ведома пользователя, чтобы поддерживать порядок на жёстком диске. Дефрагментация займёт у вас около часа, так что лучше ставить её на ночь.

1. В «Проводнике» нажмите правой кнопкой мыши на одном из дисков и откройте его свойства.
2. Перейдите во вкладку «Сервис» и нажмите «Оптимизировать».
3. Выберите один из дисков и кликните на «Оптимизировать». По окончании дефрагментации повторите сделанное с остальными дисками в списке.

Через «Панель управления» (диагностика хранилища)

Многие ошибочно полагают, что через утилиту диагностики хранилища можно провести анализ жёсткого диска. На самом деле это не так. Утилита диагностики хранилища действительно присутствует на жёстком диске, но она запускается автоматически, и сделать через неё анализ у вас не получится. Этим способом можно узнать только результаты последней проверки состояния жёсткого диска.

Если вы просто хотите провести анализ, воспользуйтесь предыдущим способом, но вместо «Оптимизировать» нажмите «Анализировать».

1. Откройте «Панель управления». Найти вы её можете через поиск в меню «Пуск».
2. Выберите вариант просмотра «Мелкие значки» и нажмите на «Центр безопасности и обслуживания».
3. Разверните информационную панель «Обслуживание». Тут будут отображены результаты последней проверки жёсткого диска.

Через командную строку

Этот способ исключает восстановление порядка на жёстком диске, которое производится при обычной дефрагментации. За счёт этого процесс протекает гораздо быстрее. Исправлять ошибки этим способом рекомендуется, если вам необходимо быстро восстановить информацию из повреждённых секторов.

1. Откройте командную строку от имени администратора и введите chkdsk C: /F /R. Буква F указывает на необходимость автоматического исправления найденных ошибок, а R отвечает за попытку восстановления информации из повреждённых секторов.
2. В процессе анализа может появиться сообщение о невозможности проверки определённого сектора в связи с его использованием в настоящий момент. В подобном случае у вас будет выбор:
   • введите команду Y, чтобы подтвердить перезагрузку компьютера: это необходимо для проверки используемого сектора (после перезагрузки анализ продолжится);
   • введите команду N, чтобы продолжить анализ без проверки используемого сектора.
3. По окончании процесса проверьте остальные диски, заменив в команде букву C.

Через PowerShell

Windows PowerShell — это новая мощная оболочка для командной строки. Делает она то же самое, что и её предшественница, но имеет гораздо больше полномочий. PowerShell позволяет быстро и просто произвести те действия, которые для обычной командной строки являются затруднительными или невозможными. В нашем случае это поможет избежать необходимости перезагружать компьютер для проверки используемых секторов.

1. Откройте PowerShell от имени администратора (так же, как и командную строку).
2. Введите команду Repair-Volume -DriveLetter C и нажмите Enter. По окончании процесса замените в команде букву C, чтобы проверить другие диски.

Состав средств выявления проблем

Инструменты поиска и устранения конфликтов разделены на несколько категорий, многие из них также включают в себя подкатегории.

Программы – с помощью этого инструмента осуществляется выполнение приложений, при запуске которых возникли проблемы, связанные с несовместимостью.

После запуска поиска проблем утилита проведет сканирование системы и отобразит список установленных в ней приложений. В окне необходимо выбрать проблемную программу и кликнуть «Далее» для запуска диагностики с целью выявления источника конфликта.

Посмотрите ещё: Проблемы с установкой обновления Windows 10

Оборудование и звук – посредством инструментов, размещенных в данной категории осуществляется диагностика оборудования, используемого на компьютере с Windows 10.

В число средств входят:

• настройка устройства – обнаружение затруднений в работе или в процессе конфигурации конкретного аппаратного компонента компьютера;
• звук – используется при появлении неполадок во время воспроизведения/записи звука или разговоров по Скайп и подобным программам для Windows 10;
• сеть – диагностика работы и настройка сетей, в том числе беспроводных, и сетевых устройств;
• принтер – избавление от конфликтов, возникающих в процессе печати;
• Windows Media – поиск причин, вызывающих осложнения с воспроизведением видео и DVD-дисков;
• воспроизведение видео – выявление причин, не позволяющих проигрывать видеофайлы;
• фоновая служба передачи – диагностика проблем, препятствующих загрузке файлов в фоновом режиме;
• приложения из магазина – определение факторов, которые не дают приложениям с магазина Windows нормально функционировать.

Как видим, набор средств для выявления неполадок и возврата компьютера к состоянию нормального функционирования в Windows 10 большой. Иной вопрос заключается в их эффективности. Но здесь вся ответственность лежит на плечах разработчиков с более чем 20-ти летним опытом в создании операционных систем.

В любом случае, эти инструменты ни раз спасали новичков от отката системы, выполнения полного сброса или полной ее переустановки.

Для простоты поиска необходимого приложения все инструменты можно отобразить в одном окне без сортировки по категориям. Отвечает за это кнопка «Просмотр всех категорий».

Как посмотреть журнал событий в Windows 10?

С помощью журнала событий в Windows пользователь может ознакомиться с теми событиями, которые происходили в операционной системе, а это в том числе: ошибки, сбои, неполадки и т.д. Как открыть журнал событий в Windows 10? Ответ на указанный вопрос знают не все пользователи, поэтому мы подготовили эту простую инструкцию.

Окно «Выполнить»

Нужно запустить окно «Выполнить». Как это сделать? Например, можно навести курсор мыши на кнопку «Пуск», нажать ПКМ и выбрать в меню пункт «Выполнить».

Есть и другой путь — нажать Win+R на клавиатуре.

Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.

Журнал событий был запущен.

Поиск по Windows

Нажмите на иконку поиска, что расположена на панели задач.

Укажите поисковый запрос просмотр событий, после чего появится одноименное приложение. Нажмите по нему левой клавишей мыши для запуска.

Панель управления

Нажмите Win+X на клавиатуре, будет открыто меню быстрого доступа.

В нем выберите строку «Панель управления».

Укажите «Крупные значки», а затем кликните по строке «Администрирование».

Осталось только выбрать пункт «Просмотр событий».

Командная строка

Можно открыть журнал событий и через командую строку.

Наводите курсор на кнопку «Пуск», нажимаете на правую клавишу мыши. Появляется меню, здесь нажимаете «Панель управления» (PowerShell на других версиях Windows).

Командная стока запущена, вам необходимо указать команду eventvwr и нажать Enter на клавиатуре.

Видим запущенный журнал событий.

Какой способ использовать, решать только вам.

Querying Logs

There are three main ways for user to access event logs from a Windows session. They are the graphical Windows Event Viewer , the command line , and the PowerShell cmdlet . Each of these options enable users to query any of the log providers and event IDs, and each has various strengths and weaknesses.

Windows Event Viewer

The Windows Event Viewer is a graphical program that enables users to view and create complex queries against the various Windows event log providers. It allows for the creation and saving of custom views to facilitate easy analysis of repetitive tasks.

By default, the Windows Event Viewer opens as a three-pane Microsoft Management Console. In the left-hand panel, there is a tree of event log providers. In the middle is a view of selected providers’ events, and in the right-hand panel, there is an action pane.

The event viewer is best option for when a user needs to explore manually with logs and run complex queries. It enables users to build custom views that help them to quickly key in on event types for a particular task. This flexibility can be very helpful when users aren’t sure exactly what they are looking for.

Wevtutil

The binary can be used to query or enumerate logs from a Windows command shell or batch script.

Some useful options for include the following:

Note: For users who are running test queries and displaying them on screen, it’s a good idea to use the option to limit the number of results returned.

Get-WinEvent CmdLet

The PowerShell cmdlet can be used to query the same log providers as . The advantage is that it returns the results as a PowerShell object. That means users can manipulate and format is further using normal PowerShell constructs, such as and . It is best used as part of PowerShell scripts to check system status or watch for certain alerts.

As is the case with most PowerShell modules, users can see a display of the full range of capabilities using the command.

The following are examples of queries that correspond to the examples:

Similar to , if you are running basic or exploratory queries on the PowerShell command line, it is a good idea to generally use the option. Doing so facilitates faster completion of the command while also not overloading the user’s screen.

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов» 

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 SP1
• Windows 8.1
• Windows 8
• Windows 7 SP1

Скачайте с сайта Microsoft соответствующую версию, выполните установку и перезагрузку хоста. Также обязательным требованием является наличие Microsoft .NET Framework 4.5 или выше.

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

Включаем политику и нажимаем «Применить» (Apply). При этом устанавливать галочку напротив поля «Регистрация начала или остановки вызова блоков сценариев» (Log script block invocation start / stop events) не нужно. Данная функция увеличивает количество регистрируемых событий, которые не несут полезной информации.

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

• журнал «Установка» (Setup) — не менее 10 МБ,
• журнал «Система» (System) — не менее 50 МБ,
• журнал «Приложение» (Application) — не менее 50 МБ,
• журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Рисунок 17. Настройка хранения журналов аудита

Открываем лог ошибок

1. Поиск.

Самый простой и доступный способ – открыть поиск (комбинация клавиш Win+S) и ввести соответствующее название. Классическое приложение называется «Просмотр событий».

1. «Выполнить».

Нажимаем комбинацию клавиш Win+R и вписываем в строке команду eventvwr.msc.

1. Панель управления.

Более длинный способ. Открываем панель управления (как это сделать – читайте здесь). Устанавливаем режим просмотра крупные или мелкие значки и переходим в раздел «Администрирование».

Автоматически откроется Проводник с папкой, в которой находятся ярлыки средств администрирования. Находим «Просмотр событий».

Каждый из вышеописанных способов откроет нам интефрейс, в котором нас интересует, прежде всего, Журналы Windows и Журналы приложений и служб.

Журнал ошибок позволяет увидеть конкретные неисправности компьютера и операционной системы. Для обычных пользователей это возможность ознакомиться с проблемой и найти решение в интернете. Хотя в большинстве случаев журнал используется опытными программистами или системными администраторами.

0x03 журнал классификации

В журнале событий Windows есть пять типов событий. Все события должны иметь один из пяти типов событий, и может быть только один тип. Пять типов событий делятся на:

1. Информация

Информационные события относятся к событиям успешной работы приложения, драйвера или службы.

2. Предупреждение

Предупреждающее событие относится к проблеме, которая не является прямой и серьезной, но вызовет будущие проблемы. Например, если места на диске недостаточно или принтер не найден, регистрируется событие «предупреждение».

3. Ошибка

События ошибок относятся к важным проблемам, о которых должны знать пользователи. События ошибок обычно относятся к потере функций и данных. Например, если служба не может быть загружена при загрузке системы, она сгенерирует событие ошибки.

4. Аудит успеха

Успешные аудиторские попытки доступа к безопасности в основном относятся к журналам безопасности, которые регистрируют вход / выход пользователя из системы, доступ к объектам, использование привилегий, управление учетными записями, изменения политики, подробное отслеживание, доступ к службе каталогов, вход в учетную запись и другие события, такие как все успехи. Система входа будет записана как событие «успешного аудита».

5. Аудит отказов

Неудачная попытка безопасного входа в систему аудита, например, попытка пользователя получить доступ к сетевому диску, не будет выполнена, попытка будет записана как событие неудачного аудита.

Место хранения файла журнала событий (Vista / Win7 / Win8 / Win10 / Server2008 / Server 2012 и более поздние версии)

тип	Тип события	описание	Имя файла
Журнал Windows	система	Содержит системные процессы, активность диска устройства и т. Д. В событиях записывается, что драйвер устройства не может запускаться или останавливаться нормально, происходит сбой оборудования, дублируется IP-адрес, а также запускается, останавливается и приостанавливается системный процесс.	System.evtx
безопасности	Содержит события, связанные с безопасностью, такие как изменения прав пользователя, вход и выход, доступ к файлам и папкам, печать и другая информация.	Security.evtx
приложений	Содержит события, связанные с прикладным программным обеспечением, установленным операционной системой. События включают в себя ошибки, предупреждения и информацию, о которой должно сообщать любое приложение. Разработчики приложения могут решить, какую информацию записать.	Application.evtx
Журналы приложений и услуг	Microsoft	Папка Microsoft содержит более 200 категорий встроенных журналов событий Microsoft. Только для некоторых типов по умолчанию включено ведение журнала, например, подключение клиента удаленного рабочего стола, беспроводная сеть, проводная сеть, установка устройства и другие связанные журналы.	Подробности смотрите в соответствующем файле в каталоге хранилища журналов.
Microsoft Office Alerts	Различная предупреждающая информация о приложениях Microsoft Office (включая Word / Excel / PowerPoint и т. Д.), Которая содержит различное поведение пользователей при работе с документами и записывает такую ​​информацию, как имена файлов и пути.	OAerts.evtx
Windows PowerShell	Журнал информации о приложении PowerShell, которое поставляется с Windows.	Windows PowerShell.evtx
Internet Explorer	Информация журнала приложения браузера IE не включена по умолчанию и должна быть настроена с помощью групповой политики.	Internet Explorer.evtx

Таблица 1 событие место хранения журнала

Совет:% SystemRoot% является системной переменной среды, и значением по умолчанию является C: \ WINDOWS.

Адрес:

С помощью инструмента «Просмотр событий» эти файлы журнала событий EVTX можно экспортировать в файлы форматов evtx, xml, txt и csv.