feuerstein08
27.06.2009, aktualisiert um 22:54:05 Uhr
view3616
view2
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

In Eventlogs Teilstrings aus der Message suchen

gelöstFrageMicrosoft
Hallo Zusammen,

ich beiße mir an einer Suchabfrage die Zähne aus ...

Ich möchte das System-Eventlog nach verschiedenen Event-Einträgen durchsuchen.
Diese Einträge beziehen sich auf das Message-Feld. Die zu suchenden Einträge sollen später durch ein Config-File bestimmt werden.
In diesem Beispiel "verdrahte" ich 2 Beispiel Suchbegriffe in einem Array.

# Das Array (hier nicht aus einer Datei erstellt):
$Mess = "The time service"  
$Mess += "The time provider"  

#Die Abfrage
Get-EventLog -LogName system | where {$_.Message -match $Mess}

Wie muss ich das Array gestalten, um eine flexible Abfrage wie oben erstellen zu können?
Oder wie muss ich die Abfrage stellen?

Manuell klappt eine einzelne Abfrage ...
get-eventlog -logname system |where {$_.Message -match "WinHTTP Web Proxy Auto-Discovery Service service was"}

Danke für die Hilfe!

Feuerstein08
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 119227

Url: https://administrator.de/forum/in-eventlogs-teilstrings-aus-der-message-suchen-119227.html

Ausgedruckt am: 17.05.2025 um 19:05 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
77559
77559 28.06.2009 um 08:55:44 Uhr
Goto Top
Zitat von @Feuerstein08:
In diesem Beispiel "verdrahte" ich 2 Beispiel Suchbegriffe in einem Array.
> # Das Array (hier nicht aus einer Datei erstellt):
> $Mess = "The time service"  
> $Mess += "The time provider"  
> 
> #Die Abfrage
> Get-EventLog -LogName system | where {$_.Message -match $Mess}
>
Das ist kein Array, sondern nur ein angehängter String,
PS D:\test\posh> $Mess = "The time service"
PS D:\test\posh> $Mess += "The time provider"
PS D:\test\posh> $Mess
The time serviceThe time provider
PS D:\test\posh>
Aber selbst ein Array würde dir nicht helfen, du müsstest im Where Teil eine Schleife einbauen um alle einzeln zu vergleichen.
Für die Beispielswerte wäre eine Abfrage mit Wildcards für die Message ohne Where erheblich effezienter.
Get-EventLog -Log system -Mess "The time*"

Gruß
LotPings
Feuerstein08
Feuerstein08 28.06.2009 um 09:38:03 Uhr
Goto Top
Hallo LotPings,

ok, das mit dem Array hatte ich wohl falsch verstanden ....
Ich werde wohl eine Schleife bauen, in der ich die einzelnen Strings mit den Messages vergleiche.

Die 2 Strings waren nur ein Beispiel (unglücklich gewählt gebe ich zu face-wink).

Vielen Dank
Feuerstein08
gelöstFrageMicrosoft
Mehr von Feuerstein08Feuerstein08Mit Powershell in eine neue XLSM einen VB Code schreibenFeuerstein08 - 6 KommentareFeuerstein08Mit Powershell nur bestimmte Arrayfelder durchsuchen (Performance)Feuerstein08 - 7 KommentareFeuerstein08Mit Powershell 1.0 über OLEDB geänderte Daten in XLSX zurück schreibenFeuerstein08Feuerstein08Mit Powershell eine XLSM nach CSV konvertierenFeuerstein08 - 7 Kommentare
Heiß diskutiert
DiWiDiWiNutzung eines Teams in Hyper-V 2025DiWiDiWi - 47 Kommentarem.sterDELL PowerEdge bootet nichtm.ster - 36 KommentareSchottenrockSchlankster Server für MS-DomäneSchottenrock - 34 Kommentarem.sterHat Microsoft seinen eigenen Patchday verpenntm.ster - 29 KommentareAbstrackterSystemimperatorRealtek 2.5GbE LAN-Chip (2.5 Gbps-1 Gbps 100 Mbps) hängt bei 10MbitsAbstrackterSystemimperator - 28 KommentarejensgebkenWindows-Update geht auf Notebook nichtjensgebken - 23 KommentarePMackeWindows - Automatische Passworteingabe in Anmeldebildschirm und UAC PromptPMacke - 22 KommentareMysticFoxDEWindows 11 24H2 - Der neue Defender HorrorMysticFoxDE - 20 KommentareSeekuhrittyOffice 365 Hack trotz MFA, ohne AdminrechteSeekuhritty - 20 KommentareYan2021Daten auf Google Drive sicher ablegen möglich?Yan2021 - 19 KommentareTomTom89Univention + OpenXchange Mailserver - CalDAV CardDAVTomTom89 - 16 Kommentare1Werner1Windows 11 ( 24H2) ohne TPM Prüfung auf jeden PC !1Werner1 - 16 KommentaremarkaurelTP-Link Routerkonfigurationmarkaurel - 16 Kommentare