事件檢視器，.evtv 轉.csv超坑，工作筆記，經驗筆記

前情提要 

最近每天都在觀察上線的evtx log，log 少說有1萬筆。

尤其要在log中找出異常和統計，在事件檢視器中 查看就很不好找資料，還是匯出來用excel 找比較快。

在事件檢視器中，有個另存檔案的按鈕，可選擇存.csv檔 在用excel 開，一切就是萬惡的源頭.....

另存.csv(圖1)

問題的起源

原本是用 事件檢視器 內建的功能去轉.csv ，但沒想到 裡面的內容過大... csv 會有遺失

怎麼比對資料.csv 和 原始的evtx 會對不起來，在原始evtx中是有錯誤內容，但轉成csv後 錯誤內容 有的會遺失😒 ....靠，

當所有資料都統計完了，卻發現怎麼內容對不起來

(小插曲...)

前輩: 你就一個一個看阿！

我: 一個就有3W多筆耶....後面還有20幾個耶。

發現好用工具 LogParse

去網路上找一下後，發現window 有出整理Log的工具LogParse，處理大量Log 和轉成csv 都不是問題，還能用下SQL 的方式 去處理資料。(圖2)

logparse裝完就可以輸入CLI指令，想當然要有 圖形化介面在整理資料會更好查看，這時可以在裝LogParseStudio。(圖3、圖4)

LogParse(圖2)

LogParse Studio 下載(圖3)

LogParse Studio (圖4)

logparse studio 在使用上不難(圖5)，而且出來的資料會把 遺失訊息 、錯誤訊息分開(圖6) 

logparse 使用介面(圖5)

訊息顯示得更詳細(圖6)

後續處理

透過logparse整理後的資料，可以匯出結果.csv😀，如果有大量資料也可搭配powershell 寫批次

處理。(圖7、圖8)

透過powser shell批次處理(圖7)

powershell匹量執行(圖8)

心得

在資料處理的時候要特別小心，是否有遺失、處理錯誤...

在統計的時候 發現怎麼都對不上，就覺得超級嘔0..0👿

沒事不要用事件檢視器 另存轉檔，檔案內容太大會有遺失😹😹😹....

 心中有一萬隻草尼馬在內心的大草原上奔跑，伊~哈~