ndb-str
Oct 24, 2013
view4451
view6
0
Goto Top

Powershell get-eventlog auf Windows server 2008

GermansolvedQuestionBatch, ShellDevelopment
Hallo Zusammen,

ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.

Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.

Wie ist hierfür der Weg?

Danke für die Hilfe im Voraus
ndb-str


$RODCServer = gc env:computername

#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}

#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------

Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 220325

Url: https://administrator.de/contentid/220325

Printed on: April 19, 2024 at 02:04 o'clock

6 Comments
Latest comment
Goto Top
Member: colinardo
colinardo Oct 24, 2013 at 11:19:10 (UTC)
Goto Top
Hallo ndb-str
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Logontype:.*?3"} | Export-Clixml $xmlfile
Grüße Uwe
Member: ndb-str
ndb-str Oct 24, 2013 at 16:03:20 (UTC)
Goto Top
Hallo Uwe,
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
Member: ndb-str
ndb-str Oct 24, 2013 at 16:06:18 (UTC)
Goto Top
Hallo Uwe,
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung

mfg

ndb-str
Member: ndb-str
ndb-str Oct 27, 2013 at 12:17:12 (UTC)
Goto Top
Hallo Uwe,
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.

Gruß ndb-str
Member: colinardo
colinardo Oct 27, 2013 updated at 12:38:21 (UTC)
Goto Top
Wie sieht die Ausgabe des Events aus bzw. welche Sprache wird dort verwendet (Englisch/Deutsch) habe oben den englischen Begriff Logontype verwendet ist dieser bei dir im Event in Deutsch geschrieben -> "Anmeldetyp" ? Wenn ja dann müsste es so aussehen:
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Anmeldetyp:.*?3"} | Export-Clixml $xmlfile

Bei einem Test geht's bei mir einwandfrei...

Grüße Uwe
Member: ndb-str
ndb-str Oct 27, 2013 at 17:02:10 (UTC)
Goto Top
Hallo Uwe,
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.

Gruß ndb-str
GermansolvedQuestionBatch, ShellDevelopment
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment