Lernprogramm Powershell - Filtern von Windows-Ereignisprotokollen

Möchten Sie erfahren, wie Sie Windows-Ereignisprotokolle mit Powershell filtern? In diesem Lernprogramm zeigen wir Ihnen, wie Sie Ereignisprotokolle mithilfe der Befehlszeile filtern.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Geräteliste

Hier finden Sie die Liste der Geräte, die zum Erstellen dieses Tutorials verwendet wurden.

Geräteliste

Dieser Link zeigt auch die Softwareliste, die zum Erstellen dieses Tutorials verwendet wurde.

Zugehöriges Tutorial - PowerShell

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit PowerShell.

Lernprogramm Powershell - Filtern von Windows-Ereignisprotokollen

Starten Sie eine PowerShell-Befehlszeile mit erhöhten Rechten.

Listen Sie alle Protokolldateien auf.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Rufen Sie eine Zusammenfassung aller Protokolldateien ab.

Copy to Clipboard

Rufen Sie eine Zusammenfassung aller aktivierten Protokolldateien mit Datensätzen größer als 0 ab.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

LogName                                                                        RecordCount IsEnabled IsClassicLog  LogMode        LogType
-------                                                                        ----------- --------- ------------  -------        -------
Windows PowerShell                                                                    1111      True         True Circular Administrative
System                                                                                5465      True         True Circular Administrative
Security                                                                              3950      True         True Circular Administrative
Application                                                                            698      True         True Circular Administrative
Microsoft-Windows-WinINet-Config/ProxyConfigChanged                                      1      True        False Circular    Operational
Microsoft-Windows-WindowsUpdateClient/Operational                                       53      True        False Circular    Operational
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall                     454      True        False Circular    Operational

Listen Sie alle Protokollanbieternamen auf.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Listen Sie den Typ der Ereignisse auf, die für einen bestimmten Protokollanbieter verfügbar sind.

Copy to Clipboard

Listen Sie die Ereignisse einer klassischen Protokolldatei auf.

Copy to Clipboard

Listen Sie die Ereignisse einer modernen Protokolldatei auf.

Copy to Clipboard

Filtern Sie Ereignisse anhand des Protokollnamens.

Copy to Clipboard

Filtern Sie Ereignisse anhand des Protokollnamens und der Ereignis-ID.

Copy to Clipboard

Filtern Sie Ereignisse mit einem bestimmten Startdatum.

Copy to Clipboard

Filtern Sie Ereignisse mit einem bestimmten Start- und Enddatum.

Copy to Clipboard

Filtern Sie Ereignisse innerhalb eines bestimmten Zeitintervalls.

Copy to Clipboard

Es gibt mehrere Möglichkeiten, Datum und Uhrzeit zu filtern.

Copy to Clipboard

Filtern Sie Ereignisse mithilfe der Fehlerstufe.

Copy to Clipboard

Filtern Sie Ereignisse mithilfe des Nachrichteninhalts.

Copy to Clipboard

Listen Sie alle Felder auf, die zum Filtern eines Ereignisses verfügbar sind.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

TypeName: System.Diagnostics.Eventing.Reader.EventLogRecord

Name                 MemberType   Definition
----                 ----------   ----------
Dispose              Method       void Dispose(), void IDisposable.Dispose()
Equals               Method       bool Equals(System.Object obj)
FormatDescription    Method       string FormatDescription(), string FormatDescription(System.Collections.Generic.IEnumerable[System.Object] values)
GetHashCode          Method       int GetHashCode()
GetPropertyValues    Method       System.Collections.Generic.IList[System.Object] GetPropertyValues(System.Diagnostics.Eventing.Reader.EventLogPropertySelector propertySelector)
GetType              Method       type GetType()
ToString             Method       string ToString()
ToXml                Method       string ToXml()
Message              NoteProperty string Message=An account failed to log on....
ActivityId           Property     System.Nullable[guid] ActivityId {get;}
Bookmark             Property     System.Diagnostics.Eventing.Reader.EventBookmark Bookmark {get;}
ContainerLog         Property     string ContainerLog {get;}
Id                   Property     int Id {get;}
Keywords             Property     System.Nullable[long] Keywords {get;}
KeywordsDisplayNames Property     System.Collections.Generic.IEnumerable[string] KeywordsDisplayNames {get;}
Level                Property     System.Nullable[byte] Level {get;}
LevelDisplayName     Property     string LevelDisplayName {get;}
LogName              Property     string LogName {get;}
MachineName          Property     string MachineName {get;}
MatchedQueryIds      Property     System.Collections.Generic.IEnumerable[int] MatchedQueryIds {get;}
Opcode               Property     System.Nullable[int16] Opcode {get;}
OpcodeDisplayName    Property     string OpcodeDisplayName {get;}
ProcessId            Property     System.Nullable[int] ProcessId {get;}
Properties           Property     System.Collections.Generic.IList[System.Diagnostics.Eventing.Reader.EventProperty] Properties {get;}
ProviderId           Property     System.Nullable[guid] ProviderId {get;}
ProviderName         Property     string ProviderName {get;}
Qualifiers           Property     System.Nullable[int] Qualifiers {get;}
RecordId             Property     System.Nullable[long] RecordId {get;}
RelatedActivityId    Property     System.Nullable[guid] RelatedActivityId {get;}
Task                 Property     System.Nullable[int] Task {get;}
TaskDisplayName      Property     string TaskDisplayName {get;}
ThreadId             Property     System.Nullable[int] ThreadId {get;}
TimeCreated          Property     System.Nullable[datetime] TimeCreated {get;}
UserId               Property     System.Security.Principal.SecurityIdentifier UserId {get;}
Version              Property     System.Nullable[byte] Version {get;}

Rufen Sie den Namen und den Wert aller Felder eines Ereignisses ab.

Copy to Clipboard

Herzlichen glückwunsch! Sie können Windows-Protokollereignisse mit Powershell filtern.

Powershell - Filtern von Windows-Ereignisprotokollen

Powershell - Filtern von Windows-Ereignisprotokollen

Geräteliste

Zugehöriges Tutorial - PowerShell

Lernprogramm Powershell - Filtern von Windows-Ereignisprotokollen

Related Posts