6
Powershell get-eventlog auf Windows server 2008
Hallo Zusammen,
ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.
Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.
Wie ist hierfür der Weg?
Danke für die Hilfe im Voraus
ndb-str
$RODCServer = gc env:computername
#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}
#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
ich möchte auf einem Windows Server 2008R2 die Securitylogs
mit den ID`s 4624 und 4634 auslesen.
Mit dem unten aufgeführten Script klappt das. Nur bekomme ich
zuviele Events.
Ich will hier, bei den angegeben events, den logontype 3 ausschließen.
Wie ist hierfür der Weg?
Danke für die Hilfe im Voraus
ndb-str
$RODCServer = gc env:computername
#Ausgabe der Datei
$Date = (get-date) - (new-timespan -day 1)
$OutputPath = "\\...\$RODCServer\"
$xmlfile = $OutputPath + "Securityreport_$RODCServer-" + (Get-Date).ToString("yyyy-MM-dd") + ".xml"
if ((Test-Path -Path $OutputPath+$xmlfile) -eq $true) {remove-item $xmlfile}
#Auslesen der Eventlogs Security für die letzten 24 Stunden
#----------------------------------------------------------
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) `
| Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 4634} | Export-Clixml $xmlfile
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220325
Url: https://administrator.de/contentid/220325
Ausgedruckt am: 26.11.2024 um 08:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo ndb-str
Grüße Uwe
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Logontype:.*?3"} | Export-Clixml $xmlfile 
Hallo Uwe,
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
vielen Dank für die schnelle Antwort.
Beim Ausführen bekomme ich jedoch die Fehlermeldung "Es wurde kein
Parameter gefunden, der dem Parameternamen "and" entspricht
Hallo Uwe,
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung
mfg
ndb-str
entschuldige, aber ich hatte ein Klammer vergessen.
Vielen Dank für die Lösung
mfg
ndb-str
Hallo Uwe,
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.
Gruß ndb-str
hab das Script mal laufen lassen.
Es werden nach wie vor alle Events mit Anmeldetyp 3 ausgelesen.
Gruß ndb-str
Wie sieht die Ausgabe des Events aus bzw. welche Sprache wird dort verwendet (Englisch/Deutsch) habe oben den englischen Begriff Logontype verwendet ist dieser bei dir im Event in Deutsch geschrieben -> "Anmeldetyp" ? Wenn ja dann müsste es so aussehen:
Bei einem Test geht's bei mir einwandfrei...
Grüße Uwe
Get-Eventlog -log Security -Computer $RODCServer -After $((get-date).AddHours(-24)) | Where-Object {($_.EventID -eq 4624 -or $_.EventID -eq 4634) -and $_.Message -notmatch "Anmeldetyp:.*?3"} | Export-Clixml $xmlfile Bei einem Test geht's bei mir einwandfrei...
Grüße Uwe
Hallo Uwe,
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.
Gruß ndb-str
hatte es auch schon mit Anmeldetyp probiert und es hat nicht funktioniert.
Nun hab ich es noch einmal probiert und es wurden die Events mit Typ 3 rausgefiltert.
Ich versteh es manchmal nicht.
Gruß ndb-str
