Knowledge base

Windows (wie als auch Anwendungen) schreiben laufend Informationen in Log-Dateien, die insbesondere für das Troubleshooting nützlich sein können, sofern man die entscheidenden Einträge findet. PowerShell bietet für diese Aufgabe gleich zwei Cmdlets, nämlich Get-EventLog und Get-WinEvent.

Get-EventLog

Dieses Cmdlet gibt es schon seit der Powershell Version 2.0. Damit kann man die gesamte EventLog von Windows mit gewissen Filtekriterien heraussuchen. Man sieht die fülle der Möglichkeiten mit der Ausgabe der Member:

 Get-EventLog -LogName Security | Get-Member

• -LogName: Wichtig, hier kann aber nur jeweils ein Wert stehen
  • System
  • Application
  • Security 
• -after 15.05.2018 -before 15.05.2018 => Datum eingrenzen
• -InstanceId 4624,4662,4661 => Kategorie

Felder:

Beispiel Login und Events bei Login für User "meinadmin"

Für Login muss man folgende ID kennen:

• 4624 = An account was successfully logged on.
• 4625 = An account failed to log on.
• 4648 = A logon was attempted using explicit credentials (runas)

• 4634 = An account was logged off.
• 4647 = User initiated logoff.

• 4771 = Kerberos pre-authentication failed
  • 0x18 Pre-authentication information was invalid Usually means bad password

• 4661 = A handle to an object was requested.
• 4662 = An operation was performed on an object.

Import-Module ActiveDirectory
$log = Get-EventLog -LogName Security `
-ComputerName $(Get-ADDomainController).hostname -InstanceId 4624,4625

$log | `
where { $_.Message -like "*meinadmin*" } | `
Select EntryType,InstanceId,TimeGenerated,Message | `
Export-Csv -Path c:\temp\log.csv  -NoTypeInformation -delimiter ',' -Encoding UTF8

Get-WinEvent

Dieses Cmdlet hat insbesondere seine Vorteile das es mehrere LogName zulässt. Das Filterkriterium wird wiederum aber als xPath definiert. Hier als Beispiel eines lokalen Admins:

 Get-WinEvent -LogName Security, System -FilterXPath "*/System[Security/@UserID='S-1-5-20']"