Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Powershell get-eventlog auf Windows server 2008

Frage Entwicklung Batch & Shell

Mitglied: ndb-str

ndb-str (Level 1) - Jetzt verbinden

24.10.2013 um 12:59 Uhr, 2880 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.

Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.

Wie ist hierfür der Weg?

Danke für die Hilfe im Voraus
ndb-str


$RODCServer = gc env:computername

#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}

#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------

Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
Mitglied: colinardo
24.10.2013 um 13:19 Uhr
Hallo ndb-str
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Logontype:.*?3"} | Export-Clixml $xmlfile
Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:03 Uhr
Hallo Uwe,
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:06 Uhr
Hallo Uwe,
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung

mfg

ndb-str
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 13:17 Uhr
Hallo Uwe,
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.

Gruß ndb-str
Bitte warten ..
Mitglied: colinardo
27.10.2013, aktualisiert um 13:38 Uhr
Wie sieht die Ausgabe des Events aus bzw. welche Sprache wird dort verwendet (Englisch/Deutsch) habe oben den englischen Begriff Logontype verwendet ist dieser bei dir im Event in Deutsch geschrieben -> "Anmeldetyp" ? Wenn ja dann müsste es so aussehen:
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Anmeldetyp:.*?3"} | Export-Clixml $xmlfile
Bei einem Test geht's bei mir einwandfrei...

Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 18:02 Uhr
Hallo Uwe,
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.

Gruß ndb-str
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Windows Server
gelöst Dringend Hilfe bei Windows Server 2008 - Client Profil beschädigt (5)

Frage von winsrv zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2008 Rolle Dateidienste hat ein Kreuz davor (3)

Frage von MichiBLNN zum Thema Windows Server ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (24)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Netzwerke
Abisolierwerkzeug (11)

Frage von SarekHL zum Thema Netzwerke ...

Hyper-V
Langsames Netzwerk i210 LAN Karte (11)

Frage von Akcent zum Thema Hyper-V ...

Windows Server
Server 2016 - Kuriositäten (8)

Frage von certifiedit.net zum Thema Windows Server ...