EventLog in Powershell anzeigen und filtern

2 Pluspunkte 0 Minuspunkte

Wie kann ich den Windows EventLog in Powershell anzeigen und alle Einträge mit "Konto wurde erfolgreich angemeldet" filtern? Ich habe diesen Befehl probiert

Get-WinEvent -LogName "Security" -FilterXPath "Message='*Konto wurde erfolgreich angemeldet*'"

aber bekomme den Fehler

Get-WinEvent : Es wurden keine Ereignisse gefunden, die den angegebenen Auswahlkriterien entsprechen.
In Zeile:1 Zeichen:1
+ Get-WinEvent -LogName "Security" -FilterXPath "Message='*Konto wurde erf ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (:) [Get-WinEvent], Exception
    + FullyQualifiedErrorId : NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand
von  

3 Antworten

2 Pluspunkte 0 Minuspunkte

Du kannst im Log des User Profile Service nachsehen.

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-User Profile Service/Operational'; ID=67} | Select-Object TimeCreated, Message
von (1.0k Punkte)  
Da steht aber nicht welcher Benutzer das war.
von  
Dann kannst du ein Format-List am Ende machen, dann siehst du in der Message den Speicherort des Profils.

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-User Profile Service/Operational'; ID=67} | Select-Object TimeCreated, Message | Format-List -Property TimeCreated, Message
von (1.0k Punkte)  
1 Pluspunkt 0 Minuspunkte

Du kannst die Nachrichten mit dem Cmdlet Get-WinEvent abrufen und mit dem Cmdlet Where-Object kannst du die Rückgabe eines Cmdlet filtern.

Get-WinEvent -LogName "Security" | Where-Object {$_.Message -like "*Konto wurde erfolgreich angemeldet*"}
von (728 Punkte)  
Da sieht man aber auch nicht welcher Benutzer das war.
von  
0 Pluspunkte 0 Minuspunkte

Mit dem Cmdlet Get-EventLog kannst du den Eventlog in Powershell auslesen.

Get-EventLog -LogName Security -Newest 50
von (944 Punkte)  

Ähnliche Fragen