3
Eventlog - Details mit Powershell auslesen und auswerten
Moin Kollegen.
Ich fange mit zwei Screenshots an:
Ich suche nach einer Möglichkeit, den markierten Wert (Anzahl an Millisekunden) auszuwerten.
Ich möchte, dass nur bei Werten größer als 5000 Millisekunden etwas geschieht, beispielsweise in ein Log geschrieben wird "langsame Verarbeitung auf PC xy"
Das Log auszulesen, bekomme ich hin:
Aber um dann aus Ergebniszeilen wie
Hat jemand einen Tipp für mich?
Ich fange mit zwei Screenshots an:
Ich suche nach einer Möglichkeit, den markierten Wert (Anzahl an Millisekunden) auszuwerten.
Ich möchte, dass nur bei Werten größer als 5000 Millisekunden etwas geschieht, beispielsweise in ein Log geschrieben wird "langsame Verarbeitung auf PC xy"
Das Log auszulesen, bekomme ich hin:
$Date = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{ LogName='Microsoft-Windows-GroupPolicy/Operational'; StartTime=$Date; Id='5016' }| select TimeCreated,message 15.02.2022 19:46:05 Die Verarbeitung der Group Policy Services-Erweiterung wurde in 110 Millisekunden abgeschlossen.
nur die Millisekundenanzahl zu filtern und zu entscheiden, größer/kleiner 5000, dazu reichen meine bescheidenen Skriptingkünste nicht.Hat jemand einen Tipp für mich?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1933681867
Url: https://administrator.de/contentid/1933681867
Printed on: April 24, 2024 at 12:04 o'clock
3 Comments
Latest comment
Servus DWW,
gibt mehrere Wege nach Rom
oder über Filterung mit Where-Object und XML Object
oder auch direkt mit Auswertung im -FilterXPath Parameter
Such dir was aus
.
Grüße Uwe
gibt mehrere Wege nach Rom
$Date = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{ LogName='Microsoft-Windows-GroupPolicy/Operational'; StartTime=$Date; Id='5016' } -EA SilentlyContinue | ?{$_.Properties.Value -gt 5000 } $Date = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{ LogName='Microsoft-Windows-GroupPolicy/Operational'; StartTime=$Date; Id='5016' } -EA SilentlyContinue | ?{[int](([xml]$_.toXML()).Event.EventData.Data |?{$_.Name -eq 'CSEElaspedTimeInMilliSeconds'}).innerText -gt 5000} $Date = (Get-date).AddDays(-1).ToUniversalTime().ToString('o')
Get-WinEvent -LogName 'Microsoft-Windows-GroupPolicy/Operational' -FilterXPath "*[System[EventID=5016 and TimeCreated[@SystemTime > '$date']] and EventData[Data[@Name='CSEElaspedTimeInMilliSeconds'] > 5000]]" -EA SilentlyContinue Such dir was aus
.Grüße Uwe
4
Wow, das sind doch alles Toplösungen, vielen Dank, Uwe!
Ich versuche mal, das nachzuvollziehen und mein Skriptingarsenal aufzustocken...
Ich versuche mal, das nachzuvollziehen und mein Skriptingarsenal aufzustocken...
Immer gerne . Mit dem XPath-Filter der letzten Variante könntest du dann auch direkt ein Eventlogtrigger erstellen falls gewünscht (den Zeit-Filter müsstest du dann nur raus nehmen).
. Mit dem XPath-Filter der letzten Variante könntest du dann auch direkt ein Eventlogtrigger erstellen falls gewünscht (den Zeit-Filter müsstest du dann nur raus nehmen).<QueryList>
<Query Id="0" Path="Microsoft-Windows-GroupPolicy/Operational">
<Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System[EventID=5016] and EventData[Data[@Name='CSEElaspedTimeInMilliSeconds'] > 5000]]</Select>
</Query>
</QueryList>
