$dc = Get-ADDomainController | select -first 1
$events = get-eventlog -ComputerName $dc -LogName Security -InstanceId 4740
$resultList = @()
foreach ($e in $events) {
$callerComputerMatch = $e.Message -match "Caller Computer Name:\s*(\S+)"
$accountNameMatches = [regex]::Matches($e.Message, "Account Name:\s*(\S+)")
$Trigger_Time = $e.TimeGenerated
#Wenn der Caller Computer Name gefunden wurde
if ($callerComputerMatch) {
$callerComputerName = $matches[1] #Computername
}
#Wenn der zweite(!) Account Name gefunden wurde
if ($accountNameMatches.Count -ge 2) {
$secondAccountName = $accountNameMatches[1].Groups[1].Value #Account Name
}
#Füge die Ergebnisse der Liste hinzu
$resultList += [PSCustomObject]@{
Trigger_Time = $Trigger_Time
Triggering_Client = $callerComputerName
Triggering_Account_Name = $secondAccountName
}
}
$resultList | Format-Table -AutoSizeZunächst Wähle ich einen DC aus. Auf diesem lese ich dann aus dem Securtity Eventlog alle Eintrage der ID 4740 aus.
Es wird eine Resultlist erstellt, in die dann die Ergebnisse kommen.
Nun wird im Message Feld der “Caller Computer Name” gesucht und der Zeitstempel des Events festgehalten.
Im nächsten Schritt wird der im Message Feld des Events enthaltene 2.(!) Account Name gesucht und festgehalten
Danach wird alles in die Liste gepackt und ausgegeben.