der-nickel
Jun 21, 2010, updated at 14:15:36 (UTC)
view17365
view3
0
Goto Top

Via Powershell Eventlog auswerten und Ausgabe Filtern

GermansolvedQuestionBatch, ShellDevelopment

Ich möchte unser EventLog auf fehlerhafte Anmeldungen Prüfen und nur bestimmte Werte zurück bekommen. Dazu verwende ich folgenden Code:

PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}|fl Message)

als Ergebnis erhalte ich folgendes:

PS> $Event

Message : Fehlgeschlagene Vorbestätigung:

              Benutzername:    Test-Benutzer

              Benutzerkennung:        %{S-1-5-21-1114325384-69494389-911163043-2206}

              Dienstname:    krbtgt/<DOMÄNE>

              Vorauthentifizierungstyp:    0x0

              Fehlercode:    0x19

              Clientadresse:    192.168.0.5


Jetzt möchte ich folgende Meldungen zurück bekommen:

Benutzername:    Test-Benutzer
Clientadresse:    192.168.0.5

und

Anzahl der Fehlerhaften Anmeldungen: 1

Kann mir hier jemand helfen? Ich habe es schon mit Select-String versucht, dies liefert mir jedoch keine Rückmeldung... also die Ausgabe bleibt leer, egal was ich als Pattern angebe, vermutlich weil die Quell-Ausgabe kein reiner String ist und somit im falschen Format vorliegt. Wäre euch echt dankbar!

Viele Grüße,

nickel
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 145305

Url: https://administrator.de/contentid/145305

Printed on: April 23, 2024 at 20:04 o'clock

3 Comments
Latest comment
Goto Top
Member: der-nickel
der-nickel Jun 21, 2010 at 12:44:41 (UTC)
Goto Top
Ok... das Zählen der fehlerhaften Anmeldungen habe ich schon hin bekommen in dem ich einfach alles in Klammern mit .Count zähle:

PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}).Count  
PS> $Event
18
Member: der-nickel
der-nickel Jun 22, 2010 at 07:18:35 (UTC)
Goto Top
Hat niemand eine Idee? Wir möchten hier gern auf teure Lösungen verzichten und o.g. Lösung würde uns schon völlig ausreichen.
Member: der-nickel
der-nickel Jul 01, 2010 at 12:31:42 (UTC)
Goto Top
Hallo,

ich habe die Lösung mittlerweile selbst herausgefunden:

 $Event | fl TimeGenerated,Message | Out-String -Stream | Select-String @("TimeGenerated","Benutzername","Clientadresse")

Mit 'Out-String -Stream' wandelt man das Objekt in einen String um und kann diesen dann anschließend auch mit Select-String filtern...

Viele Grüße,

Sebastian
GermansolvedQuestionBatch, ShellDevelopment
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments