lord-icon
27.07.2018, aktualisiert um 15:48:23 Uhr
view6385
view3
0
Goto Top

POWERSHELL. An und Abmeldung pro Tag gruppiert anzeigen

FrageMicrosoftWindows Server
Moin,

ich möchte einen "Bericht" über das An und Abmelden am PC

Ergo:
Get-Eventlog -log Security -After $((get-date).AddDays(-1)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -match "Anmeldetyp:.*?2"} | Format-Table TimeGenerated,Message


Sieht dann so aus:
TimeGenerated                                                       Message
-------------                                                             -------
27.07.2018 14:02:41                                                  Ein Konto wurde erfolgreich angemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde abgemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde erfolgreich angemeldet....
27.07.2018 13:06:20                                                  Ein Konto wurde erfolgreich angemeldet....

Leider sind doppelte Werte drin
mittels groupby auf TimeGenerated bringt hier nicht die gewünschte Lösung.


Nutzt so einer schon was in dieser Art, was ich weiterentwickeln könnte ?
Habt Dank sonst für Tipps und Code Snippets
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 381542

Url: https://administrator.de/forum/powershell-an-und-abmeldung-pro-tag-gruppiert-anzeigen-381542.html

Ausgedruckt am: 12.04.2025 um 13:04 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
Bitboy
Bitboy 27.07.2018 um 16:18:18 Uhr
Goto Top
Ich hab das mal bei einem Rechner geprüft und muss feststellen, dass auch im Eventviewer Einträge "doppelt" erscheinen, ist also nicht verwunderlich, dass Powershell die mitliefert.
Mikrofonpartner
Mikrofonpartner 28.07.2018 um 08:13:07 Uhr
Goto Top
Morgen

Was bringt dir denn die Ausgabe? Steht ja nicht viel drin. Teile doch bitte mit, was genau in deinem Bericht aufgeführt sein soll.


PS C:\Windows\system32> Get-EventLog Security | Select-Object -First 1 -Property *


EventID            : 4672
MachineName        : %PCNAME%
Data               : {}
Index              : 131160
Category           : (12548)
CategoryNumber     : 12548
EntryType          : SuccessAudit
Message            : Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

                     Antragsteller:
                        Sicherheits-ID:         S-1-5-18
                        Kontoname:              SYSTEM
                        Kontodomäne:            NT-AUTORITÄT
                        Anmelde-ID:             0x3e7

                     Berechtigungen:            SeAssignPrimaryTokenPrivilege
                                        SeTcbPrivilege
                                        SeSecurityPrivilege
                                        SeTakeOwnershipPrivilege
                                        SeLoadDriverPrivilege
                                        SeBackupPrivilege
                                        SeRestorePrivilege
                                        SeDebugPrivilege
                                        SeAuditPrivilege
                                        SeSystemEnvironmentPrivilege
                                        SeImpersonatePrivilege
Source             : Microsoft-Windows-Security-Auditing
ReplacementStrings : {S-1-5-18, SYSTEM, NT-AUTORITÄT, 0x3e7...}
InstanceId         : 4672
TimeGenerated      : 28.07.2018 07:34:29
TimeWritten        : 28.07.2018 07:34:29
UserName           :
Site               :
Container          :

In deiner Ausgabe fehlt eben die halbe Message. Musst schon mehr sagen, was du dir von dem Bericht erhoffst.
colinardo
colinardo 28.07.2018 aktualisiert um 10:29:15 Uhr
Goto Top
Täglich grüßt das Murmeltier, hatte ich hier schon mal ein Skript zu gepostet:
An- und Abmelde Ereignisse mit Powershell auslesen

Aus dem Ergebnis lässt sich dann problemlos per Group-Object {$_.Time.Date} für die Gruppierung über die jeweiligen Tage auswerten.

Grüße Uwe
FrageMicrosoftWindows Server
Mehr von lord-iconlord-iconWindows 11 Taskleistenhöhe ändernlord-icon - 7 Kommentarelord-iconNetzwerkprobleme nach Umstellung auf 10GBlord-icon - 4 Kommentarelord-iconFirewall in Fortinet 124F gesuchtlord-icon - 4 Kommentarelord-iconFW für FortiSwitch 124F gesuchtlord-icon - 5 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 62 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 40 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareBitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 25 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 21 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 16 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentarekpunktSQL 2022 Standard richtig lizensieren (wieder mal)kpunkt - 12 Kommentare