バッチファイルでWindowsのイベントログをエクスポートする
Y子です。
Windowsのイベントログをエクスポートするバッチファイルを作ってみました。
障害発生時の原因切り分けや、保守期間の稼働状況調査のために、OSのイベントログを持ち帰る、という用途を想定します。
【確認環境:Windows 10 Home (Bld. 19042.928)】
仕様
- システムログ、アプリケーションログをファイル化する
- 7日以上分をファイル化する
- EVTX形式とTXT形式でファイル化する
「7日以上分」は、今日が月曜としたら、「前の週の月曜の0時から現在まで」の期間とします。
「EVTX形式」とは、ダブルクリックするとWindowsの「イベントビューアー」で表示できる形式です。
コード
export_evtlog.bat
@echo off
setlocal
rem ログを取得する日数(昨日=1)
set backday=7
rem ログを保存するフォルダ
set savedir=.
rem GMT→JST変換のため、さらに1日前の15時をログ取得開始時刻とする
set /a backday=%backday%+1
set str_date=%date%
set str_date=%str_date:~0,4%%str_date:~5,2%%str_date:~8%
set str_time=%time: =0%
set str_time=%str_time:~0,2%%str_time:~3,2%%str_time:~6,2%
rem ファイル名(前半部分)作成 …保存先フォルダ名も結合しておく
set file_name_pre= %savedir%\%computername%_%str_date%_%str_time%
rem 「x日前」の日付文字列を作成
for /F "usebackq delims=" %%a in (`powershell "(get-date).AddDays(-%backday%).ToString(\"yyyy-MM-dd\")"`) do set tgt_date=%%a
rem ファイル保存(EVTX形式)
wevtutil epl system %file_name_pre%_sys.evtx "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]"
wevtutil epl application %file_name_pre%_app.evtx "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]"
rem ファイル保存(TXT形式)
wevtutil qe system /f:text "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]" > %file_name_pre%_sys.txt
wevtutil qe application /f:text "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]" > %file_name_pre%_app.txt
endlocal
説明
@echo off
setlocal
rem ログを取得する日数(昨日=1)
set backday=7
rem ログを保存するフォルダ
set savedir=.
rem GMT→JST変換のため、さらに1日前の15時をログ取得開始時刻とする
set /a backday=%backday%+1
set str_date=%date%
set str_date=%str_date:~0,4%%str_date:~5,2%%str_date:~8%
set str_time=%time: =0%
set str_time=%str_time:~0,2%%str_time:~3,2%%str_time:~6,2%
rem ファイル名(前半部分)作成 …保存先フォルダ名も結合しておく
set file_name_pre= %savedir%\%computername%_%str_date%_%str_time%
rem 「x日前」の日付文字列を作成
for /F "usebackq delims=" %%a in (`powershell "(get-date).AddDays(-%backday%).ToString(\"yyyy-MM-dd\")"`) do set tgt_date=%%a
rem ファイル保存(EVTX形式)
wevtutil epl system %file_name_pre%_sys.evtx "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]"
wevtutil epl application %file_name_pre%_app.evtx "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]"
rem ファイル保存(TXT形式)
wevtutil qe system /f:text "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]" > %file_name_pre%_sys.txt
wevtutil qe application /f:text "/q:*[System[TimeCreated[@SystemTime>='%tgt_date%T15:00:00']]]" > %file_name_pre%_app.txt
endlocal
ログの取得日数を、backdayで7日間としてあります。必要に応じて変更してください。
ログを保存するフォルダはsavedirで定義して使います。
今回のコードの「.」のままだと、実行時のカレントフォルダに保存されますので、必要に応じて変更してください。
保存されるファイル名は、コンピュータ名_日付_時刻_種別.拡張子という形式にしてあります。
複数のPCからログを集めた際に分からなくならないよう、%computername%を使ってコンピュータ名を付けてあります。
日付時刻は、バッチファイルを実行した時刻が入ります。
種別は、システムログがsys、アプリケーションログがappとしてあります。
EVTX形式とTXT形式は、拡張子で区別してあります。
イベントログのエクスポートはwevtutilコマンドを使っています。
抽出期間の指定はGMTで行うため、日本時間の「7日前の0時」は、GMTの「8日前の15時」として指定します。
「n日前の日付」は、powershellを使って計算しています。
wevtutilコマンドに渡す条件式は文法が難しいですが、Windowsのイベントビューアーを使って作成できます。
イベントビューアーでシステムログ等を表示させ、「カスタムビューの作成...」から、条件に合うように「フィルター」を設定すると、そのフィルタの内容が「XML」タブに表示されます。
それが、そのまま条件式に使えます。
今回のコードでは、システムログ・アプリケーションログを例として扱っていますが、他にも多くのログをエクスポートすることができます。
Windowsのコマンドラインからwevtutil elを実行すると、指定できるログの候補が表示されます(わたしのPCでは1000種類以上!)。
ただし、権限がなかったり、蓄積していなかったりして、エクスポートできないログもあるようです。
EVTX形式とTXT形式の両方を保存するコードですが、正直なところ、どちらかがあればよいと思います。
使い勝手の良い方を残してお使いください。
使い方・実行結果
収集したいタイミングで実行したり、タスクスケジューラーに登録して定期的に実行したりします。
ログの蓄積状況によりますが、数秒で指定ファイルが保存されます。
おわりに
どちらかと言うと、保守よりは開発が楽しいと思う性分なので、イベントログってあんまり見ないんですよね…。
ただまあ、アプリケーションが残すログで判断がつかない事象は、イベントログを確認することになるので、最後に頼るもの、というイメージがあります。
ローテートされて消えちゃう前にファイル化しておく、そのための今回のバッチファイルです。
だいじ。
ではでは!
Author And Source
この問題について(バッチファイルでWindowsのイベントログをエクスポートする), 我々は、より多くの情報をここで見つけました https://qiita.com/koiwaiwaiko/items/9978a2d0565c265f5ad6著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .