Windows Active Directory: EventLog Login überwachen
Windows (wie als auch Anwendungen) schreiben laufend Informationen in Log-Dateien, die insbesondere für das Troubleshooting nützlich sein können, sofern man die entscheidenden Einträge findet. PowerShell bietet für diese Aufgabe gleich zwei Cmdlets, nämlich Get-EventLog und Get-WinEvent.
Get-EventLog
Dieses Cmdlet gibt es schon seit der Powershell Version 2.0. Damit kann man die gesamte EventLog von Windows mit gewissen Filtekriterien heraussuchen. Man sieht die fülle der Möglichkeiten mit der Ausgabe der Member:
Get-EventLog -LogName Security | Get-MemberDie wichtigsten Filter:
- -LogName: Wichtig, hier kann aber nur jeweils ein Wert stehen
- System
- Application
- Security
- -after 15.05.2018 -before 15.05.2018 => Datum eingrenzen
- -InstanceId 4624,4662,4661 => Kategorie
Felder:
EntryType,InstanceId,TimeGenerated,MessageBeispiel Login und Events bei Login für User "meinadmin"
Für Login muss man folgende ID kennen:
- 4624 = An account was successfully logged on.
- 4625 = An account failed to log on.
- 4648 = A logon was attempted using explicit credentials (runas)
- 4634 = An account was logged off.
- 4647 = User initiated logoff.
- 4771 = Kerberos pre-authentication failed
- 0x18 Pre-authentication information was invalid Usually means bad password
- 4661 = A handle to an object was requested.
- 4662 = An operation was performed on an object.
Import-Module ActiveDirectory $log = Get-EventLog -LogName Security ` -ComputerName $(Get-ADDomainController).hostname -InstanceId 4624,4625 $log | ` where { $_.Message -like "*meinadmin*" } | ` Select EntryType,InstanceId,TimeGenerated,Message | ` Export-Csv -Path c:\temp\log.csv -NoTypeInformation -delimiter ',' -Encoding UTF8
Get-WinEvent
Dieses Cmdlet hat insbesondere seine Vorteile das es mehrere LogName zulässt. Das Filterkriterium wird wiederum aber als xPath definiert. Hier als Beispiel eines lokalen Admins:
Get-WinEvent -LogName Security, System -FilterXPath "*/System[Security/@UserID='S-1-5-20']"
×
...auch noch interessant
- Windows 2016 // 01.11.2022VMware Aria Automation 8.x: VMPSMasterWorkflow32 MachineProvisioned SysPrep
- Windows // 31.10.2022Windows 2022 Disk Layout from Hell (update)
- Powershell // 22.04.2022Opnsense: Backup mit Rest-API (os-api-backup)
- Powershell // 01.04.2022Powershell Where-Object mit Warp 7 beschleunigen
Nichts gefunden
Es wurde zur Story Windows Active Directory: EventLog Login überwachen kein Kommentar gefundenInformation
Werbung oder Ähnliches sind nicht erlaubt, daher wird jeder Beitrag geprüft und freigegeben.Advertising, etc. are not allowed, so any contribution is reviewed and approved.
Facebook-Webadress are not allowed, Facebook als Webadresse ist nicht erlaubt
* Die E-Mail wird nicht veröffentlicht / The email will not be published
** Bitte Zahl eintragen / Please enter the number
Modal Header
Some text in the Modal Body
Some other text...
(c)2025 stastka.ch // help system