Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Powershell get-eventlog auf Windows server 2008

Mitglied: ndb-str

ndb-str (Level 1) - Jetzt verbinden

24.10.2013 um 12:59 Uhr, 3109 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.

Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.

Wie ist hierfür der Weg?

Danke für die Hilfe im Voraus
ndb-str


$RODCServer = gc env:computername

#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}

#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------

Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
Mitglied: colinardo
24.10.2013 um 13:19 Uhr
Hallo ndb-str
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Logontype:.*?3"} | Export-Clixml $xmlfile
Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:03 Uhr
Hallo Uwe,
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:06 Uhr
Hallo Uwe,
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung

mfg

ndb-str
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 13:17 Uhr
Hallo Uwe,
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.

Gruß ndb-str
Bitte warten ..
Mitglied: colinardo
27.10.2013, aktualisiert um 13:38 Uhr
Wie sieht die Ausgabe des Events aus bzw. welche Sprache wird dort verwendet (Englisch/Deutsch) habe oben den englischen Begriff Logontype verwendet ist dieser bei dir im Event in Deutsch geschrieben -> "Anmeldetyp" ? Wenn ja dann müsste es so aussehen:
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Anmeldetyp:.*?3"} | Export-Clixml $xmlfile
Bei einem Test geht's bei mir einwandfrei...

Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 18:02 Uhr
Hallo Uwe,
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.

Gruß ndb-str
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

PowerShell Get-ADGroupMembership von Workgroup Server aus

gelöst Frage von FlashOverBatch & Shell2 Kommentare

Hallo zusammen. Ich habe ein einfaches Script, welches die Gruppenmitglieder von ein paar Gruppen ausliest. Das wird genutzt um ...

Batch & Shell

PowerShell EventLog informationen filtern

gelöst Frage von derhoeppiBatch & Shell1 Kommentar

Hallo, mit Hilfe von Get-EventLog hole ich mir bestimmte Einträge in ein Array. Das Array verfügt über drei für ...

Batch & Shell

Powershell Get-Hotfix Script

Frage von u0206084Batch & Shell3 Kommentare

Hallo Kollegen, ich möchte die Hotfixes der Server auslesen hierzu , habe ich verschiedene Powershellscripte gefunden. Script 1: (Funktioniert ...

Batch & Shell

PowerShell - Get-Content - spinnt

gelöst Frage von emeriksBatch & Shell7 Kommentare

Hi, habe ein PS-Script. Get-Content liefert für dieselbe Datei (keine Replikate) verschiedene Ergebnisse, wenn das Script auf verschiedenen Servern ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware19 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1011 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...