Menü Schließen

Powershell – Get-EventLog und Get-WinEvent – Remote – Abfragen des Eventlog

JARVIS 0 Kommentare
PowerShell Logo

System ist ein Windows 7 x64 DE Client mit Powershell 4.0 . Nachfolgend ein paar Snipes zum Abfragen des Eventlogs.

Auch wenn es ein deutsches System ist, so muss ich statt Anwendung -> Application, Sicherheit -> Security und System = System, in den Befehlen verwenden.

Übersicht der aktuellen Einträge im Eventlog mittels Powershell

PS: C:\>Get-EventLog -Computername „client01“ -list
Max(K) Retain OverflowAction        Entries Log
—— —— ————–        ——- —
20.480      0 OverwriteAsNeeded       1.846 Application
20.480      0 OverwriteAsNeeded           0 HardwareEvents
512      7 OverwriteOlder              0 HP HotKey Support
512      7 OverwriteOlder              0 HP Software Framework
512      7 OverwriteOlder              0 Internet Explorer
20.480      0 OverwriteAsNeeded           0 Key Management Service
8.192      0 OverwriteAsNeeded           0 Media Center
128      0 OverwriteAsNeeded           0 OAlerts
20.480      0 OverwriteAsNeeded       1.115 Security
20.480      0 OverwriteAsNeeded       2.207 System
15.360      0 OverwriteAsNeeded         477 Windows PowerShell

Abfrage und Auflistung der letzten 20 Einträge sieht demnach in Powershell wie folgt aus:

PS: C:\>Get-EventLog -Computername „client01“ -log Application -Newest 20
Index Time          EntryType   Source                 InstanceID Message
—– —-          ———   ——                 ———- ——-
4125 Mrz 16 13:09  0           CertEnroll             2186936384 Die Bes…
4124 Mrz 16 13:09  0           CertEnroll             2186936385 Die Bes…
4123 Mrz 16 11:54  0           Microsoft-Windows…          258 „Starto…
…..
4106 Mrz 16 11:34  Information ESENT                         102 WinMail…

Abfrage der letzten 20 Einträge vom Typ Error im System-Eventlog

PS C:\>Get-EventLog -Computername „client01“ -log System -Newest 20 -EntryType Error

Index Time          EntryType   Source                 InstanceID Message
—– —-          ———   ——                 ———- ——-
8338 Mrz 09 16:59  Error       Microsoft-Windows…         1055 Fehler …
8314 Mrz 09 16:59  Error       NETLOGON                     5719 Der Com…

…..
7312 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…

Abfrage eines bestimmten Events, da oberhalb ein Systemfehler vom Source Disk auftrat, sehe ich doch mal genauer nach und liste alle Fehler mit Source Disk auf:

PS C:\>Get-EventLog -Computername „client01“ -log System -source Disk

Index Time          EntryType   Source                 InstanceID Message
—– —-          ———   ——                 ———- ——-
7312 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…
7311 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…

Abfrage nach bestimmter EventID, falls es mehrere Einträge zu einem Source gibt. Hier mal direkt zu Disk und EventID 11:

PS C:\> Get-EventLog -Computername „client01“ -log System -source Disk |where {$_.eventID -eq 11}

Index Time          EntryType   Source                 InstanceID Message
—– —-          ———   ——                 ———- ——-
7312 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…
7311 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…

Abfrage nach bestimmten Source (Disk) und eines bestimmten Zeitraumes :

PS C:\> Get-EventLog -Computername „client01“ -log System -source Disk -after (get-date „1.3.2015“) -before (get-date „16.3.2015“)

Index Time          EntryType   Source                 InstanceID Message
—– —-          ———   ——                 ———- ——-
7312 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…
7311 Mrz 06 14:59  Error       Disk                   3221487627 Der Tre…

Ah ok, also 2 Einträge seit dem ersten Eintrag ins Eventlog. Nun möchte ich gerne die Details dazu sehen und nehme als Beispiel den ersten Eintrag mit dem Index 7312:

PS C:\> Get-EventLog -Computername „client01“ -log System -source Disk -Index 7312 |format-list -property *

EventID            : 11
MachineName        : client01
Data               : {14, 3, 128, 0…}
Index              : 7312
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.
Source             : Disk
ReplacementStrings : {\Device\Harddisk1\DR2}
InstanceId         : 3221487627
TimeGenerated      : 06.03.2015 14:59:43
TimeWritten        : 06.03.2015 14:59:43
UserName           :
Site               :
Container          :

Abfrage der am häufigsten aufgetretenen Einträge im Application Log mittels Get-WinEvent

PS: C:\>Get-WinEvent -ComputerName „client02“ -log Application -MaxEvents 1
ProviderName: Microsoft-Windows-CertificateServicesClient-CertEnroll

TimeCreated                     Id LevelDisplayName Message
———–                     — —————- ——-
16.03.2015 13:09:51             64 Informationen    Die Richtlinie wurde mit…

Abfrage zum Sichern / Backup des Eventlogs in eine XML Datei mittels Powershell

PS C:\> Get-EventLog -Computername „client01“ -log Application | Export-Clixml -path „C:\temp\client01-systemlog-backup.xml“

Abfrage zum leeren / löschen des Eventlogs, hier die Kategorie „Windows PowerShell“

PS C:\> Clear-EventLog -Computername „client01“ -log „Windows PowerShell“

 

Link: https://technet.microsoft.com/en-us/library/hh849834.aspx

Verschlagwortet , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert