Torna ai risultati
  • Windows

Script PowerShell per il backup dei log eventi: una guida completa per i professionisti IT 

  • di Team Ninja

Introduzione

Nella gestione IT, il mantenimento di registrazioni accurate degli eventi di sistema è fondamentale per la risoluzione dei problemi, la conformità e la sicurezza. Tuttavia, la gestione manuale di questi log può richiedere molto tempo, soprattutto in ambienti di grandi dimensioni. Per risolvere questo problema, l’automazione dei backup dei log eventi con PowerShell è una soluzione pratica ed efficiente. Questa guida analizza un affidabile script PowerShell progettato per esportare e comprimere i log eventi, e offrire un approccio semplificato alla loro gestione.

Contesto

I log eventi sono essenziali per comprendere l’attività del sistema e diagnosticare i problemi. Questi log registrano informazioni quali errori di sistema, violazioni della sicurezza ed eventi applicativi, cosa che li rende preziosi per gli amministratori di sistema e i fornitori di servizi gestiti (MSP). Lo script fornito automatizza il processo di backup, assicurando che i log vengano esportati, compressi e archiviati in modo sicuro senza richiedere l’intervento manuale.

Questo script per il backup dei log eventi è particolarmente utile per gli ambienti con requisiti normativi rigorosi, come HIPAA o GDPR, dove è obbligatorio mantenere tracce di audit dettagliate.

Lo script per il backup dei log eventi:

#Requires -Version 5.1

<#
.SYNOPSIS
    Exports the specified event logs to a specified location in a compressed zip file.
.DESCRIPTION
    Exports the specified event logs to a specified location in a compressed zip file.
    The event logs can be exported from a specific date range.

    By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).

PARAMETER: -EventLogs "System,Security" -BackupDestination "C:\Temp\EventLogs\"
    Exports the specified event logs to a specified location in a compressed zip file.
.EXAMPLE
    -EventLogs "System,Security" -BackupDestination "C:\Temp\EventLogs\"
    ## EXAMPLE OUTPUT WITH EventLogs ##
    [Info] Today is 2023-04-17
    [Info] EventLogs are System,Security
    [Info] Backup Destination is C:\Temp\EventLogs\
    [Info] Start Date is null
    [Info] End Date is null
    [Info] Exporting Event Logs...
    [Info] Exported Event Logs to C:\Temp\EventLogs\System.evtx
    [Info] Exported Event Logs to C:\Temp\EventLogs\Security.evtx
    [Info] Successfully exported Event Logs!
    [Info] Compressing Event Logs...
    [Info] Compressed Event Logs to C:\Temp\EventLogs\Backup-System-Security-2023-04-17.zip
    [Info] Successfully compressed Event Logs!
    [Info] Removing Temporary Event Logs...
    [Info] Removed Temporary Event Logs!

PARAMETER: -EventLogs "System,Security" -BackupDestination "C:\Temp\EventLogs\" -StartDate "2023-04-15" -EndDate "2023-04-15"
    Exports the specified event logs to a specified location in a compressed zip file.
    The event logs can be exported from a specific date range.
.EXAMPLE
    -EventLogs "System,Security" -BackupDestination "C:\Temp\EventLogs\" -StartDate "2023-04-15" -EndDate "2023-04-15"
    ## EXAMPLE OUTPUT WITH StartDate and EndDate ##
    [Info] Today is 2023-04-17
    [Info] EventLogs are System,Security
    [Info] Backup Destination is C:\Temp\EventLogs\
    [Info] Start Date is 2023-04-15
    [Info] End Date is 2023-04-16
    [Info] Exporting Event Logs...
    [Info] Exported Event Logs to C:\Temp\EventLogs\System.evtx
    [Info] Exported Event Logs to C:\Temp\EventLogs\Security.evtx
    [Info] Successfully exported Event Logs!
    [Info] Compressing Event Logs...
    [Info] Compressed Event Logs to C:\Temp\EventLogs\Backup-System-Security-2023-04-17.zip
    [Info] Successfully compressed Event Logs!
    [Info] Removing Temporary Event Logs...
    [Info] Removed Temporary Event Logs!
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes: Initial Release
#>

[CmdletBinding()]
param (
    [String]$EventLogs,
    [String]$BackupDestination,
    [DateTime]$StartDate,
    [DateTime]$EndDate
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Host "[Error] Access Denied. Please run with Administrator privileges."
        exit 1
    }
    if ($env:eventLogs -and $env:eventLogs -notlike "null") {
        $EventLogs = $env:eventLogs
    }
    
    $EventLogNames = $EventLogs -split "," | ForEach-Object { $_.Trim() }
    if ($env:backupDestination -and $env:backupDestination -notlike "null") {
        $BackupDestination = $env:backupDestination
    }
    if ($env:startDate -and $env:startDate -notlike "null") {
        $StartDate = $env:startDate
    }
    if ($env:endDate -and $env:endDate -notlike "null") {
        $EndDate = $env:endDate
    }

    # Validate StartDate and EndDate
    if ($StartDate) {
        try {
            $StartDate = Get-Date -Date $StartDate -ErrorAction Stop
        }
        catch {
            Write-Host "[Error] The specified start date is not a valid date."
            exit 1
        }
    }
    if ($EndDate) {
        try {
            $EndDate = Get-Date -Date $EndDate -ErrorAction Stop
        }
        catch {
            Write-Host "[Error] The specified end date is not a valid date."
            exit 1
        }
    }
    # Validate BackupDestination is a valid path to a folder
    if ($(Test-Path -Path $BackupDestination -PathType Container -ErrorAction SilentlyContinue)) {
        $BackupDestination = Get-Item -Path $BackupDestination
    }
    else {
        try {
            $BackupDestination = New-Item -Path $BackupDestination -ItemType Directory -ErrorAction Stop
        }
        catch {
            Write-Host "[Error] The specified backup destination is not a valid path to a folder."
            exit 1
        }
    }

    Write-Host "[Info] Today is $(Get-Date -Format yyyy-MM-dd-HH-mm)"

    # Validate EventLogs are valid event logs
    if (
        $(
            wevtutil.exe el | ForEach-Object {
                if ($EventLogNames -and $($EventLogNames -contains $_ -or $EventLogNames -like $_)) { $_ }
            }
        ).Count -eq 0
    ) {
        Write-Host "[Error] No Event Logs matching: $EventLogNames"
    }

    Write-Host "[Info] EventLogs are $EventLogNames"
    if ($EventLogNames -and $EventLogNames.Count -gt 0) {
        Write-Host "[Info] Backup Destination is $BackupDestination"

        # If the start date is specified, check if it's a valid date
        if ($StartDate) {
            try {
                $StartDate = $(Get-Date -Date $StartDate).ToUniversalTime()
            }
            catch {
                Write-Host "[Error] The specified start date is not a valid date."
                exit 1
            }
            Write-Host "[Info] Start Date is $(Get-Date -Date $StartDate -Format yyyy-MM-dd-HH-mm)"
        }
        else {
            Write-Host "[Info] Start Date is null"
        }
        if ($EndDate) {
            try {
                $EndDate = $(Get-Date -Date $EndDate).ToUniversalTime()
            }
            catch {
                Write-Host "[Error] The specified end date is not a valid date."
                exit 1
            }
            Write-Host "[Info] End Date is $(Get-Date -Date $EndDate -Format yyyy-MM-dd-HH-mm)"
        }
        else {
            Write-Host "[Info] End Date is null"
        }

        # Check if the start date after the end date
        if ($StartDate -and $EndDate -and $StartDate -gt $EndDate) {
            # Flip the dates if the start date is after the end date
            $OldEndDate = $EndDate
            $OldStartDate = $StartDate
            $EndDate = $OldStartDate
            $StartDate = $OldEndDate
            Write-Host "[Info] Start Date is after the end date. Flipping dates."
        }

        Write-Host "[Info] Exporting Event Logs..."
        foreach ($EventLog in $EventLogNames) {
            $EventLogPath = $(Join-Path -Path $BackupDestination -ChildPath "$EventLog.evtx")
            try {
                if ($StartDate -and $EndDate) {
                    wevtutil.exe epl "$EventLog" "$EventLogPath" /ow:true /query:"*[System[TimeCreated[@SystemTime>='$(Get-Date -Date $StartDate -UFormat "%Y-%m-%dT%H:%M:%S")' and @SystemTime<='$(Get-Date -Date $EndDate -UFormat "%Y-%m-%dT%H:%M:%S")']]]" 2>$null
                }
                elseif ($StartDate) {
                    wevtutil.exe epl "$EventLog" "$EventLogPath" /ow:true /query:"*[System[TimeCreated[@SystemTime>='$(Get-Date -Date $StartDate -UFormat "%Y-%m-%dT%H:%M:%S")']]]" 2>$null
                }
                elseif ($EndDate) {
                    wevtutil.exe epl "$EventLog" "$EventLogPath" /ow:true /query:"*[System[TimeCreated[@SystemTime<='$(Get-Date -Date $EndDate -UFormat "%Y-%m-%dT%H:%M:%S")']]]" 2>$null
                }
                else {
                    wevtutil.exe epl "$EventLog" "$EventLogPath" /ow:true /query:"*[System[TimeCreated[@SystemTime>='1970-01-01T00:00:00']]]" 2>$null
                }
                if ($(Test-Path -Path $EventLogPath -ErrorAction SilentlyContinue)) {
                    # Get the number of events in the log
                    $EventCount = $(Get-WinEvent -Path $EventLogPath -ErrorAction SilentlyContinue).Count
                    if ($EventCount -and $EventCount -gt 0) {
                        Write-Host "[Info] Found $EventCount events from $EventLog"
                    }
                    else {
                        Write-Host "[Warn] No events found in $EventLog"
                        continue
                    }
                    Write-Host "[Info] Exported Event Logs to $EventLogPath"
                }
                else {
                    throw
                }
            }
            catch {
                Write-Host "[Error] Failed to export event logs $EventLog"
                continue
            }
        }

        Write-Host "[Info] Compressing Event Logs..."

        # Get the event log paths that where created
        $JoinedPaths = foreach ($EventLog in $EventLogNames) {
            # Join the Backup Destination and the Event Log Name
            $JoinedPath = Join-Path -Path $BackupDestination -ChildPath "$EventLog.evtx" -ErrorAction SilentlyContinue
            if ($(Test-Path -Path $JoinedPath -ErrorAction SilentlyContinue)) {
                # Get the saved event log path
                Get-Item -Path $JoinedPath -ErrorAction SilentlyContinue
            }
        }
        $JoinedPaths = $JoinedPaths | Where-Object { $(Test-Path -Path $_ -ErrorAction SilentlyContinue) }

        try {
            # Create a destination path to save the compressed file to
            # <Folder>Backup-<EventLogName-EventLogName>-<Date>.zip
            $Destination = Join-Path -Path $($BackupDestination) -ChildPath $(
                @(
                    "Backup-",
                    $($EventLogNames -join '-'),
                    "-",
                    $(Get-Date -Format yyyy-MM-dd-HH-mm),
                    ".zip"
                ) -join ''
            )

            $CompressArchiveSplat = @{
                Path            = $JoinedPaths
                DestinationPath = $Destination
                Update          = $true
            }

            # # If the destination path already exists, update the archive instead of creating a new one
            # if ($(Test-Path -Path $Destination -ErrorAction SilentlyContinue)) {
            #     $CompressArchiveSplat.Add("Update", $true)
            # }

            # Compress the Event Logs
            $CompressError = $true
            $ErrorCount = 0
            $SecondsToSleep = 1
            $TimeOut = 120
            while ($CompressError) {
                try {
                    $CompressError = $false
                    Compress-Archive @CompressArchiveSplat -ErrorAction Stop
                    break
                }
                catch {
                    $CompressError = $true
                }

                if ($CompressError) {
                    if ($ErrorCount -gt $TimeOut) {
                        Write-Host "[Warn] Skipping compression... Timed out."
                    }
                    if ($ErrorCount -eq 0) {
                        Write-Host "[Info] Waiting for wevtutil.exe to close file."
                    }
                    Start-Sleep -Seconds $SecondsToSleep
                }
                $ErrorCount++
            }
            if ($CompressError) {
                Write-Host "[Error] Failed to Compress Event Logs."
            }
            else {
                Write-Host "[Info] Compressed Event Logs to $($Destination)"
            }
        }
        catch {
            Write-Host "[Error] Failed to compress event logs."
        }

        if ($(Test-Path -Path $Destination -ErrorAction SilentlyContinue)) {
            Write-Host "[Info] Removing Temporary Event Logs..."
            foreach ($EventLogPath in $JoinedPaths) {
                try {
                    Remove-Item -Path $EventLogPath -Force -ErrorAction SilentlyContinue
                    Write-Host "[Info] Removed Temporary Event Logs: $EventLogPath"
                }
                catch {}
            }
        }
        else {
            Write-Host "[Info] Renaming Event Logs..."
            foreach ($EventLogPath in $JoinedPaths) {
                if ($(Test-Path -Path $EventLogPath -ErrorAction SilentlyContinue)) {
                    try {
                        $NewPath = Rename-Item -Path $EventLogPath -NewName "$($EventLogPath.BaseName)-$(Get-Date -Format yyyy-MM-dd-HH-mm).evtx" -PassThru -ErrorAction Stop
                        Write-Host "[Info] Event Logs saved to: $NewPath"
                    }
                    catch {
                        Write-Host "[Info] Event Logs saved to: $EventLogPath"
                    }
                }
                else {
                    Write-Host "[Info] Event Logs saved to: $EventLogPath"
                }
            }
        }
    }
    else {
        Write-Host "[Error] No Event Logs were specified."
        exit 1
    }
}
end {
    
    
    
}

 

Risparmia tempo con gli oltre 300 script del Dojo NinjaOne.

Accedi oggi stesso.

Analisi dettagliata dello script per il backup dei log eventi

Lo script per il backup dei log eventi è strutturato in modo da ottenere i seguenti risultati:

  1. Esportazione dei log eventi: Lo script per il backup dei log eventi estrae log specifici (per esempio log di Sistema o di Sicurezza) in base alle indicazioni dell’amministratore.
  2. Filtraggio delle date: Puoi filtrare i log in base alle date di inizio e fine.
  3. Compressione: Lo script per il backup dei log eventi salva i log esportati in un file .zip compresso per ottimizzare l’archiviazione.
  4. Pulizia: Lo script per il backup dei log eventi rimuove i file log temporanei dopo la compressione.

Componenti chiave

1. Controlli preliminari

  • Privilegi di amministratore: La funzione Test-IsElevated assicura che lo script per il backup dei log eventi venga eseguito con permessi elevati.
  • Convalida dell’input: Convalida gli input dell’utente per i log eventi, le date e la destinazione del backup.

2. Esportazione dei log

  • I log vengono esportati con wevtutil.exe.
  • Lo script per il backup dei log eventi consente di filtrare la data utilizzando Get-Date di PowerShell per un’estrazione precisa dei log.
  • I file .evtx vengono poi salvati nella directory di backup specificata.

3. Compressione

  • Utilizza Compress-Archive per inserire i log esportati in un file .zip.
  • Il file compresso viene nominato dinamicamente per includere i nomi dei log eventi e la data corrente.

4. Pulizia

  • I file temporanei .evtx vengono eliminati dopo l’avvenuta compressione per risparmiare spazio.

Casi d’uso potenziali

Caso di studio: Gestione dei log da parte di MSP

Un provider di servizi gestiti (MSP) gestisce 100 computer client. Per soddisfare i requisiti normativi, i log devono essere sottoposti a backup settimanali. Utilizzando questo script per il backup dei log eventi:

  1. L’MSP pianifica lo script per il backup dei log eventi tramite Task Scheduler in modo che venga eseguito ogni domenica.
  2. I log di “Sistema” e “Sicurezza” vengono esportati per la settimana corrente e salvati in un archivio di backup centrale.
  3. I backup compressi vengono archiviati, liberando spazio di archiviazione e garantendo l’accesso ai log per audit futuri.

Confronti

Metodo manuale

  • Richiede tempo: Esportare e comprimere manualmente i log richiede un notevole impegno.
  • Soggetto a errori: Rischio più elevato di perdere i log o di creare backup incompleti.

Utilizzo di strumenti di terze parti

  • Vantaggi: Strumenti come Splunk offrono analisi avanzate, ma possono essere costosi.
  • Vantaggi della script: Questo script PowerShell per il backup dei log eventi è gratuito, personalizzabile e si integra perfettamente negli ambienti Windows esistenti.

Domande frequenti

Di quali log eventi può fare il backup questo script per il backup dei log eventi?

Lo script per il backup dei log eventi supporta tutti i log disponibili tramite wevtutil.exe, come i log di sistema, di sicurezza e delle applicazioni.

Posso pianificare l’esecuzione di questo script per il backup dei log eventi?

Sì, utilizza Task Scheduler per automatizzare lo script per i backup periodici.

Come funziona il filtraggio della data?

Indica le date di inizio e fine per estrarre i log relativi a un periodo specifico. Lo script per il backup dei log eventi convalida e formatta correttamente le date, se necessario.

Cosa succede se lo script per il backup dei log eventi incontra un errore?

Gli errori, come percorsi non validi o log mancanti, vengono registrati e gestiti per evitare che lo script per il backup dei log eventi termini.

Implicazioni

Automatizzare i backup dei log eventi con questo script migliora la sicurezza IT garantendo l’archiviazione costante dei log. Inoltre, supporta gli sforzi di conformità mantenendo registrazioni accessibili e con data e ora. E ancora, in caso di violazione o di guasto del sistema, questi backup possono essere fondamentali per l’analisi forense.

Raccomandazioni

  • Eseguilo come amministratore: Esegui lo script per il backup dei log eventi con privilegi elevati per fare in modo che acceda a tutti i log eventi.
  • Pianifica backup regolari: Utilizza Task Scheduler o strumenti simili per automatizzare i backup periodici.
  • Rendi sicure le posizioni di backup: Salva i log compressi in un luogo sicuro, preferibilmente criptato, per evitare accessi non autorizzati.
  • Testa prima della distribuzione: Esegui lo script per il backup dei log eventi in un ambiente di prova per convalidarne la funzionalità.

Considerazioni finali

La gestione dei log eventi è parte integrante delle operazioni IT e l’automazione di questo processo con PowerShell semplifica un’attività tipicamente noiosa. Questo script per il backup dei log eventi non solo garantisce backup coerenti, ma offre anche flessibilità in termini di personalizzazione e scalabilità per ambienti diversi.

Per gli MSP e i professionisti IT che cercano soluzioni di gestione IT complete, NinjaOne offre strumenti che fungono da complemento a script come questo, e che consentono di semplificare le operazioni IT e di migliorare la sicurezza.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più sulla distribuzione remota di script con NinjaOne, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Inizia la tua prova gratuita

Categorie:

  • Manutenzione

Ti potrebbe interessare anche

×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Download the script

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto