6
Powershell Eventlog nach Einträgen eines Benutzers einer Datei durchsuchen
Hallo zusammen,
ich habe eine Frage zur Powershellbenutzung, vielleicht kann mir jemand helfen?
Ich möchte mir Einträge des Sicherheitsprotokolls anzeigen lassen, die nur bestimmte Benutzer oder Dateizugriffe betreffen.
Ich habe das hier probiert:
get-eventlog -log security -username benutzer
oder
get-eventlog -log security -username "benutzer"
oder
get-eventlog -log security -username domäne\benutzer
hat aber alle nichts gebracht, die Powershell benötigt ein paar Sekunden und zeigt mir dann aber wieder den Prompt.
Ich weiß aber, dass es Einträge gibt, über die normale Suche finde ich sie auch.
Hat jemand eine Idee?
Gruß Sven
ich habe eine Frage zur Powershellbenutzung, vielleicht kann mir jemand helfen?
Ich möchte mir Einträge des Sicherheitsprotokolls anzeigen lassen, die nur bestimmte Benutzer oder Dateizugriffe betreffen.
Ich habe das hier probiert:
get-eventlog -log security -username benutzer
oder
get-eventlog -log security -username "benutzer"
oder
get-eventlog -log security -username domäne\benutzer
hat aber alle nichts gebracht, die Powershell benötigt ein paar Sekunden und zeigt mir dann aber wieder den Prompt.
Ich weiß aber, dass es Einträge gibt, über die normale Suche finde ich sie auch.
Hat jemand eine Idee?
Gruß Sven
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167725
Url: https://administrator.de/contentid/167725
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Moin Moin
Wenn Du dir in der Ereignisanzeige mal das Sicherheitslog anschaust, wirst du feststellen das bei "Benutzer" überall "nicht zutreffend" steht.
Deswegen greift der Parameter -Username hier auch in Leere.
Die Benutzernamen, die du suchst finden sich gegebenenfalls im Messagetext des Events.
Probiers mal mit:
kleiner Tip noch:
Das Sicherheitslog ist gegebenenfalls riesig. Da kann es sinnvoll sein die ausgabe etwas weiter einzugrenzen
z.B. mit -Newest 1000
oder aber du filterst nach bestimmten Ereignis IDs.
Ich hoffe das hilft Dir weiter.
Gruß L.
Wenn Du dir in der Ereignisanzeige mal das Sicherheitslog anschaust, wirst du feststellen das bei "Benutzer" überall "nicht zutreffend" steht.
Deswegen greift der Parameter -Username hier auch in Leere.
Die Benutzernamen, die du suchst finden sich gegebenenfalls im Messagetext des Events.
Probiers mal mit:
Get-EventLog -logname 'Security' | where {($_.Message -match "GesuchterUser")} kleiner Tip noch:
Das Sicherheitslog ist gegebenenfalls riesig. Da kann es sinnvoll sein die ausgabe etwas weiter einzugrenzen
z.B. mit -Newest 1000
oder aber du filterst nach bestimmten Ereignis IDs.
Ich hoffe das hilft Dir weiter.
Gruß L.
Hi!
Vielen Dank für die Antwort, das passt
Eine Ergänzungsfrage habe ich allerdings noch, wenn ich das Ergebnis angezeigt bekomme, dann kürzt das System die Ausgabe (auch wenn ich es in eine Datei schreibe):
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
1873918 Jun 09 09:18 SuccessA... Microsoft-Windows... 4663 Es wurde versucht, auf ein Objekt zuzugreifen....
Weißt du ob man das auch umfangreicher ausgeben kann?
Danke und Grüße
Sven
Vielen Dank für die Antwort, das passt
Eine Ergänzungsfrage habe ich allerdings noch, wenn ich das Ergebnis angezeigt bekomme, dann kürzt das System die Ausgabe (auch wenn ich es in eine Datei schreibe):
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
1873918 Jun 09 09:18 SuccessA... Microsoft-Windows... 4663 Es wurde versucht, auf ein Objekt zuzugreifen....
Weißt du ob man das auch umfangreicher ausgeben kann?
Danke und Grüße
Sven
Moin
Probiers mal es an Format-List zu übergeben, etwa so:
Gruß L.
Probiers mal es an Format-List zu übergeben, etwa so:
Get-EventLog -logname 'Security' | where {($_.Message -match "GesuchterUser")} | Format-List Gruß L.
Vielen Dank für deine Hilfe, so hatte ich mir das vorgestellt!
Moin
Freut mich. Sei doch so gut und setze den Beitrag auf erledigt.
Danke.
Gruß L.
Freut mich. Sei doch so gut und setze den Beitrag auf erledigt.
Danke.
Gruß L.
gerne
und danke noch mal für die Hilfe!
und danke noch mal für die Hilfe!
