der-nickel
21.06.2010, aktualisiert um 16:15:36 Uhr
view17473
view3
0
Goto Top

Via Powershell Eventlog auswerten und Ausgabe Filtern

gelöstFrageEntwicklungBatch, Shell
Ich möchte unser EventLog auf fehlerhafte Anmeldungen Prüfen und nur bestimmte Werte zurück bekommen. Dazu verwende ich folgenden Code:

PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}|fl Message)

als Ergebnis erhalte ich folgendes:

PS> $Event

Message : Fehlgeschlagene Vorbestätigung:

              Benutzername:    Test-Benutzer

              Benutzerkennung:        %{S-1-5-21-1114325384-69494389-911163043-2206}

              Dienstname:    krbtgt/<DOMÄNE>

              Vorauthentifizierungstyp:    0x0

              Fehlercode:    0x19

              Clientadresse:    192.168.0.5


Jetzt möchte ich folgende Meldungen zurück bekommen:

Benutzername:    Test-Benutzer
Clientadresse:    192.168.0.5

und

Anzahl der Fehlerhaften Anmeldungen: 1

Kann mir hier jemand helfen? Ich habe es schon mit Select-String versucht, dies liefert mir jedoch keine Rückmeldung... also die Ausgabe bleibt leer, egal was ich als Pattern angebe, vermutlich weil die Quell-Ausgabe kein reiner String ist und somit im falschen Format vorliegt. Wäre euch echt dankbar!

Viele Grüße,

nickel
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 145305

Url: https://administrator.de/contentid/145305

Ausgedruckt am: 17.11.2024 um 07:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
der-nickel
der-nickel 21.06.2010 um 14:44:41 Uhr
Goto Top
Ok... das Zählen der fehlerhaften Anmeldungen habe ich schon hin bekommen in dem ich einfach alles in Klammern mit .Count zähle:

PS> $Event=(Get-EventLog -LogName:Security -ComputerName:DCSERVER -Newest 1600 | Where-Object {$_.EventID -eq "675" -and $_.TimeGenerated -gt (Get-Date).AddMinutes(-30)}).Count  
PS> $Event
18
der-nickel
der-nickel 22.06.2010 um 09:18:35 Uhr
Goto Top
Hat niemand eine Idee? Wir möchten hier gern auf teure Lösungen verzichten und o.g. Lösung würde uns schon völlig ausreichen.
der-nickel
der-nickel 01.07.2010 um 14:31:42 Uhr
Goto Top
Hallo,

ich habe die Lösung mittlerweile selbst herausgefunden:

 $Event | fl TimeGenerated,Message | Out-String -Stream | Select-String @("TimeGenerated","Benutzername","Clientadresse")

Mit 'Out-String -Stream' wandelt man das Objekt in einen String um und kann diesen dann anschließend auch mit Select-String filtern...

Viele Grüße,

Sebastian
gelöstFrageEntwicklungBatch, Shell
Mehr von der-nickelder-nickelNach Ordnerumleitung funktionieren Links im Startmenü erst nach einigen Minutender-nickelder-nickelExchange 2007 leere Terminzusagender-nickel - 1 Kommentarder-nickelunterschiedliche Absender-Domänen über verschiedene Relays verschickender-nickel - 8 Kommentareder-nickelReporting auf Objekte öffentlicher Ordnerder-nickel - 1 Kommentar
Heiß diskutiert
Roland567VMware - Broadcom und neue PreiseRoland567 - 38 KommentareFohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 16 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareDSchmolkeReset-ComputerMachinePassword LapsDSchmolke - 12 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 12 Kommentare