Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Powershell get-eventlog auf Windows server 2008

Frage Entwicklung Batch & Shell

Mitglied: ndb-str

ndb-str (Level 1) - Jetzt verbinden

24.10.2013 um 12:59 Uhr, 2988 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.

Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.

Wie ist hierfür der Weg?

Danke für die Hilfe im Voraus
ndb-str


$RODCServer = gc env:computername

#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}

#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------

Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
Mitglied: colinardo
24.10.2013 um 13:19 Uhr
Hallo ndb-str
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Logontype:.*?3"} | Export-Clixml $xmlfile
Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:03 Uhr
Hallo Uwe,
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
Bitte warten ..
Mitglied: ndb-str
24.10.2013 um 18:06 Uhr
Hallo Uwe,
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung

mfg

ndb-str
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 13:17 Uhr
Hallo Uwe,
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.

Gruß ndb-str
Bitte warten ..
Mitglied: colinardo
27.10.2013, aktualisiert um 13:38 Uhr
Wie sieht die Ausgabe des Events aus bzw. welche Sprache wird dort verwendet (Englisch/Deutsch) habe oben den englischen Begriff Logontype verwendet ist dieser bei dir im Event in Deutsch geschrieben -> "Anmeldetyp" ? Wenn ja dann müsste es so aussehen:
01.
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Anmeldetyp:.*?3"} | Export-Clixml $xmlfile
Bei einem Test geht's bei mir einwandfrei...

Grüße Uwe
Bitte warten ..
Mitglied: ndb-str
27.10.2013 um 18:02 Uhr
Hallo Uwe,
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.

Gruß ndb-str
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst Powershell - Get-ADForest (6)

Frage von emeriks zum Thema Batch & Shell ...

Batch & Shell
gelöst Powershell Name des Childs bei Get-ChildItem anzeigen (2)

Frage von reissaus73 zum Thema Batch & Shell ...

Batch & Shell
gelöst Powershell Get-Content Inhalt filtern (1)

Frage von derhoeppi zum Thema Batch & Shell ...

Batch & Shell
Eventlog Druckjobs mit VBS auslesen (4)

Frage von joni2000de zum Thema Batch & Shell ...

Neue Wissensbeiträge
Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(2)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (17)

Frage von liquidbase zum Thema Voice over IP ...

TK-Netze & Geräte
TK-Anlage VoIP - DECT Erweiterung (16)

Frage von Lynkon zum Thema TK-Netze & Geräte ...