lord-icon
Goto Top

POWERSHELL. An und Abmeldung pro Tag gruppiert anzeigen

Moin,

ich möchte einen "Bericht" über das An und Abmelden am PC

Ergo:
Get-Eventlog -log Security -After $((get-date).AddDays(-1)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -match "Anmeldetyp:.*?2"} | Format-Table TimeGenerated,Message


Sieht dann so aus:
TimeGenerated                                                       Message
-------------                                                             -------
27.07.2018 14:02:41                                                  Ein Konto wurde erfolgreich angemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde abgemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde erfolgreich angemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde erfolgreich angemeldet....

Leider sind doppelte Werte drin
mittels groupby auf TimeGenerated bringt hier nicht die gewünschte Lösung.


Nutzt so einer schon was in dieser Art, was ich weiterentwickeln könnte ?
Habt Dank sonst für Tipps und Code Snippets

Content-Key: 381542

Url: https://administrator.de/contentid/381542

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: Bitboy
Bitboy 27.07.2018 um 16:18:18 Uhr
Goto Top
Ich hab das mal bei einem Rechner geprüft und muss feststellen, dass auch im Eventviewer Einträge "doppelt" erscheinen, ist also nicht verwunderlich, dass Powershell die mitliefert.
Mitglied: Mikrofonpartner
Mikrofonpartner 28.07.2018 um 08:13:07 Uhr
Goto Top
Morgen

Was bringt dir denn die Ausgabe? Steht ja nicht viel drin. Teile doch bitte mit, was genau in deinem Bericht aufgeführt sein soll.


PS C:\Windows\system32> Get-EventLog Security | Select-Object -First 1 -Property *


EventID            : 4672
MachineName        : %PCNAME%
Data               : {}
Index              : 131160
Category           : (12548)
CategoryNumber     : 12548
EntryType          : SuccessAudit
Message            : Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

                     Antragsteller:
                        Sicherheits-ID:         S-1-5-18
                        Kontoname:              SYSTEM
                        Kontodomäne:            NT-AUTORITÄT
                        Anmelde-ID:             0x3e7

                     Berechtigungen:            SeAssignPrimaryTokenPrivilege
                                        SeTcbPrivilege
                                        SeSecurityPrivilege
                                        SeTakeOwnershipPrivilege
                                        SeLoadDriverPrivilege
                                        SeBackupPrivilege
                                        SeRestorePrivilege
                                        SeDebugPrivilege
                                        SeAuditPrivilege
                                        SeSystemEnvironmentPrivilege
                                        SeImpersonatePrivilege
Source             : Microsoft-Windows-Security-Auditing
ReplacementStrings : {S-1-5-18, SYSTEM, NT-AUTORITÄT, 0x3e7...}
InstanceId         : 4672
TimeGenerated      : 28.07.2018 07:34:29
TimeWritten        : 28.07.2018 07:34:29
UserName           :
Site               :
Container          :

In deiner Ausgabe fehlt eben die halbe Message. Musst schon mehr sagen, was du dir von dem Bericht erhoffst.
Mitglied: colinardo
colinardo 28.07.2018 aktualisiert um 10:29:15 Uhr
Goto Top
Täglich grüßt das Murmeltier, hatte ich hier schon mal ein Skript zu gepostet:
An- und Abmelde Ereignisse mit Powershell auslesen

Aus dem Ergebnis lässt sich dann problemlos per Group-Object {$_.Time.Date} für die Gruppierung über die jeweiligen Tage auswerten.

Grüße Uwe