EventLog in Powershell anzeigen und filtern

2 Pluspunkte 0 Minuspunkte

Wie kann ich den Windows EventLog in Powershell anzeigen und alle Einträge mit "Konto wurde erfolgreich angemeldet" filtern? Ich habe diesen Befehl probiert

Get-WinEvent -LogName "Security" -FilterXPath "Message='*Konto wurde erfolgreich angemeldet*'"

aber bekomme den Fehler

Get-WinEvent : Es wurden keine Ereignisse gefunden, die den angegebenen Auswahlkriterien entsprechen.
In Zeile:1 Zeichen:1
+ Get-WinEvent -LogName "Security" -FilterXPath "Message='*Konto wurde erf ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (:) [Get-WinEvent], Exception
    + FullyQualifiedErrorId : NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand
von  

2 Antworten

1 Pluspunkt 0 Minuspunkte

Du kannst im Log des User Profile Service nachsehen.

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-User Profile Service/Operational'; ID=67} | Select-Object TimeCreated, Message
von (396 Punkte)  
Da steht aber nicht welcher Benutzer das war.
von  
Dann kannst du ein Format-List am Ende machen.

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-User Profile Service/Operational'; ID=67} | Select-Object TimeCreated, Message | Format-List -Property TimeCreated, Message
von (396 Punkte)  
Kann ich den benutzernamen da noch irgendwie rausschneiden?
von  
Bestimmt aber stell dazu bitte eine neue Frage.
von (396 Punkte)  
Alles klar, danke!
von  
0 Pluspunkte 0 Minuspunkte

Du kannst die Nachrichten mit dem Cmdlet Get-WinEvent abrufen und mit dem Cmdlet Where-Object kannst du die Rückgabe eines Cmdlet filtern.

Get-WinEvent -LogName "Security" | Where-Object {$_.Message -like "*Konto wurde erfolgreich angemeldet*"}
von  
Man sieht aber nicht welcher Benutzer das war.
von  

Ähnliche Fragen