Converter arquivos evtx salvos em texto

No final, usei o Log Parser para converter em CSV e, em seguida, [System.IO.File]::ReadLines($filename) para pesquisar no texto. Um arquivo .evtx de 800 MB pode ser convertido em cerca de 2 minutos e 30 segundos e, em seguida, a leitura do arquivo leva cerca de 2 minutos. Possivelmente, poderia ser mais rápido exportar para XML ou para um banco de dados, mas será suficiente para mim com a quantidade de tempo que gastei.

$logparser = "c:\program files (x86)\Log Parser 2.2\logparser.exe"
$query = "SELECT * INTO c:\logs\logs.csv FROM c:\logs\logs.evtx"

& $logparser -i:evt -o:csv $query

Pelo que me lembro, o LogParser não foi capaz de extrair todas as informações do evento (quero dizer System e EventData que você pode ver na visualização xml para cada evento no EventViewer). Portanto, fui com powershell. Meu script funciona bem, mas é muito lento: leva cerca de 80 segundos para converter um arquivo .evtx de 10 Mb...

$a = Get-Item *.evtx
$output_file = [System.IO.StreamWriter] $("all.csv")
foreach($file in $a){
    $events = get-winevent -path $file.FullName

    foreach ($Event in $events) { 
        $xml = [xml]($Event.ToXml())

        foreach ($s in $xml.Event.System.ChildNodes) {
            $output_file.Write($s.Name + ":" + $s.InnerText + ",")
        }
        foreach ($d in $xml.Event.EventData.Data) {
            $text = $d.InnerText
            $text = if ($text) { $text.replace("`n","") } else { $text }
            $output_file.Write($d.Name + ":" + $text + ",")
        }
        $output_file.WriteLine()
    }
}

$output_file.Flush()
$output_file.Close()

Eu precisava converter em massa um monte de arquivos .evtx para .txt - acabei fazendo com que o Log Parser convertesse para .csv (que posso então renomear .txt), mas a maneira mais fácil (e usa apenas ferramentas nativas do Windows) foi para usar wevtutil.

wevtutil /qe File.evtx /lf: true abrirá e exibirá o arquivo .evtx em um cmd. Tudo o que você precisa fazer é gerar essa saída como um arquivo .txt!

wevtutil /qe File.evtx /lf: true > File.txt

Eu fiz um script em lote que verificará recursivamente uma pasta para todos os seus arquivos de eventos bem datados e converterá cada arquivo .evtx em um .txt dentro dessa pasta:

set spath=\\SERVER\Share\Audits
set eventLogDir="dir /B /s %spath% | findstr  \.evtx$"
FOR /F %%d in ('%eventLogDir%') do wevtutil qe %%d /lf:true > %%d.txt

Editar - percebi que a saída da consulta wevtutilnão é muito agradável de ler. Usando o Log Parser com meu script, consegui obter uma saída melhor e salvar ainda com .txt

set spath=\\SERVER\Share\Audits
set eventLogDir="dir /B /s %spath% | findstr  \.evtx$"
FOR /F %%d in ('%eventLogDir%') do "C:\Program Files (x86)\Log Parser 2.2\LogParser.exe" "Select * into %%d.txt from %%d" -i:evt -o:csv

Se você está procurando uma maneira de apontar e clicar para converter arquivos EVTX, experimente o Gigasheet. É um aplicativo baseado na web que analisa EVTX e você pode exportar dados no formato CSV. Você pode fazer upload de até 99 arquivos simultaneamente e é gratuito fazer upload de arquivos de até 10 GB.

Detalhes completos aqui: https://www.gigasheet.co/post/online-evtx-parser-and-viewer

Nossa análise no Gigasheet é baseada no analisador Rust EVTX de @omerbenamram. Olhando para os benchmarks no Github, parece que o desempenho deve ser ótimo para a maioria dos aplicativos: https://github.com/omerbenamram/evtx

Divulgação completa: sou co-fundador da Gigasheet.