Via Powershell Eventlog auswerten und Ausgabe Filtern
Ich möchte unser EventLog auf fehlerhafte Anmeldungen Prüfen und nur bestimmte Werte zurück bekommen. Dazu verwende ich folgenden Code:
als Ergebnis erhalte ich folgendes:
Jetzt möchte ich folgende Meldungen zurück bekommen:
und
Kann mir hier jemand helfen? Ich habe es schon mit Select-String versucht, dies liefert mir jedoch keine Rückmeldung... also die Ausgabe bleibt leer, egal was ich als Pattern angebe, vermutlich weil die Quell-Ausgabe kein reiner String ist und somit im falschen Format vorliegt. Wäre euch echt dankbar!
Viele Grüße,
nickel
PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}|fl Message) als Ergebnis erhalte ich folgendes:
PS> $Event
Message : Fehlgeschlagene Vorbestätigung:
Benutzername: Test-Benutzer
Benutzerkennung: %{S-1-5-21-1114325384-69494389-911163043-2206}
Dienstname: krbtgt/<DOMÄNE>
Vorauthentifizierungstyp: 0x0
Fehlercode: 0x19
Clientadresse: 192.168.0.5Jetzt möchte ich folgende Meldungen zurück bekommen:
Benutzername: Test-Benutzer
Clientadresse: 192.168.0.5und
Anzahl der Fehlerhaften Anmeldungen: 1Kann mir hier jemand helfen? Ich habe es schon mit Select-String versucht, dies liefert mir jedoch keine Rückmeldung... also die Ausgabe bleibt leer, egal was ich als Pattern angebe, vermutlich weil die Quell-Ausgabe kein reiner String ist und somit im falschen Format vorliegt. Wäre euch echt dankbar!
Viele Grüße,
nickel
Comment
Share
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 145305
Url: https://administrator.de/forum/via-powershell-eventlog-auswerten-und-ausgabe-filtern-145305.html
Printed on: May 12, 2025 at 06:05 o'clock
3 Comments
Latest comment
Ok... das Zählen der fehlerhaften Anmeldungen habe ich schon hin bekommen in dem ich einfach alles in Klammern mit .Count zähle:
PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}).Count
PS> $Event
18
Hat niemand eine Idee? Wir möchten hier gern auf teure Lösungen verzichten und o.g. Lösung würde uns schon völlig ausreichen.
Hallo,
ich habe die Lösung mittlerweile selbst herausgefunden:
Mit 'Out-String -Stream' wandelt man das Objekt in einen String um und kann diesen dann anschließend auch mit Select-String filtern...
Viele Grüße,
Sebastian
ich habe die Lösung mittlerweile selbst herausgefunden:
$Event | fl TimeGenerated,Message | Out-String -Stream | Select-String @("TimeGenerated","Benutzername","Clientadresse") Mit 'Out-String -Stream' wandelt man das Objekt in einen String um und kann diesen dann anschließend auch mit Select-String filtern...
Viele Grüße,
Sebastian