feuerstein08
Jun 27, 2009, updated at 20:54:05 (UTC)
view3529
view2
0
Goto Top

In Eventlogs Teilstrings aus der Message suchen

GermansolvedQuestionMicrosoft
Hallo Zusammen,

ich beiße mir an einer Suchabfrage die Zähne aus ...

Ich möchte das System-Eventlog nach verschiedenen Event-Einträgen durchsuchen.
Diese Einträge beziehen sich auf das Message-Feld. Die zu suchenden Einträge sollen später durch ein Config-File bestimmt werden.
In diesem Beispiel "verdrahte" ich 2 Beispiel Suchbegriffe in einem Array.

# Das Array (hier nicht aus einer Datei erstellt):
$Mess = "The time service"  
$Mess += "The time provider"  

#Die Abfrage
Get-EventLog -LogName system | where {$_.Message -match $Mess}

Wie muss ich das Array gestalten, um eine flexible Abfrage wie oben erstellen zu können?
Oder wie muss ich die Abfrage stellen?

Manuell klappt eine einzelne Abfrage ...
get-eventlog -logname system |where {$_.Message -match "WinHTTP Web Proxy Auto-Discovery Service service was"}

Danke für die Hilfe!

Feuerstein08
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 119227

Url: https://administrator.de/contentid/119227

Printed on: April 19, 2024 at 03:04 o'clock

2 Comments
Latest comment
Goto Top
Mitglied: 77559
77559 Jun 28, 2009 at 06:55:44 (UTC)
Goto Top
Zitat von @Feuerstein08:
In diesem Beispiel "verdrahte" ich 2 Beispiel Suchbegriffe in einem Array.
> # Das Array (hier nicht aus einer Datei erstellt):
> $Mess = "The time service"  
> $Mess += "The time provider"  
> 
> #Die Abfrage
> Get-EventLog -LogName system | where {$_.Message -match $Mess}
>
Das ist kein Array, sondern nur ein angehängter String,
PS D:\test\posh> $Mess = "The time service"
PS D:\test\posh> $Mess += "The time provider"
PS D:\test\posh> $Mess
The time serviceThe time provider
PS D:\test\posh>
Aber selbst ein Array würde dir nicht helfen, du müsstest im Where Teil eine Schleife einbauen um alle einzeln zu vergleichen.
Für die Beispielswerte wäre eine Abfrage mit Wildcards für die Message ohne Where erheblich effezienter.
Get-EventLog -Log system -Mess "The time*"

Gruß
LotPings
Member: Feuerstein08
Feuerstein08 Jun 28, 2009 at 07:38:03 (UTC)
Goto Top
Hallo LotPings,

ok, das mit dem Array hatte ich wohl falsch verstanden ....
Ich werde wohl eine Schleife bauen, in der ich die einzelnen Strings mit den Messages vergleiche.

Die 2 Strings waren nur ein Beispiel (unglücklich gewählt gebe ich zu face-wink).

Vielen Dank
Feuerstein08
GermansolvedQuestionMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment