{"id":1148,"date":"2018-02-08T14:00:08","date_gmt":"2018-02-08T12:00:08","guid":{"rendered":"http:\/\/blog.langlitz-it.de\/?p=1148"},"modified":"2018-07-19T10:08:03","modified_gmt":"2018-07-19T08:08:03","slug":"event-viewer-durch-powershell-ersetzen","status":"publish","type":"post","link":"https:\/\/www.langlitz-it.de\/?p=1148","title":{"rendered":"Event Viewer durch PowerShell ersetzen – Get-Eventlog \/ Get-WinEvent"},"content":{"rendered":"

Sicher haben Sie sich auch schon h\u00e4ufiger \u00fcber den Windows Event Viewer<\/em> \u00e4rgern m\u00fcssen. Nicht nur, dass dieser bei gro\u00dfen Datenmengen extrem langsam wird, auch die Filterm\u00f6glichkeiten sind doch sehr begrenzt. Wenn sich dies auch ab Windows 2008<\/em> schon merklich gebessert hat.<\/p>\n

Eine echte Alternative ist da die Logauswertung \u00fcber die PowerShell<\/em>. Achten Sie bitte darauf, die Powershell<\/em> als Administrator zu starten, da Sie sonst nicht den vollen Zugriff auf alle EventLogs<\/em> haben.<\/p>\n

Es gibt mehrere Weg zum Ziel, auf die ich im Folgenden n\u00e4her eingehe. Achten Sie auch immer darauf, dass Events im Log mittlerweile mit dem UTC Zeitstempel erstellt werden. Wenn ich nun Events von einem Remote System auswerte, werden diese automatisch mit ihrem Zeitstempel der Zeitzone des abrufenden System angepasst.<\/p>\n

Get-EventLog<\/h2>\n

Sie k\u00f6nnen mit dem cmdLet<\/em> get-eventlog<\/em>\u00a0granular filtern. Auch der Remoteabruf eines Logs ist ohne weiteres m\u00f6glich. Im Folgenden sehen Sie einige Beispiele, denen aber keine Grenzen gesetzt sind.<\/p>\n

Beispiel 1:<\/span><\/strong><\/p>\n

Wurde ein Server in den letzten 30 Tagen gebootet? Dazu brauchen Sie die EventID 6005<\/em> aus dem System<\/em> EventLog,\u00a0<\/em>die\u00a0vermeldet, dass das EventLog<\/em> gestartet wurde. Dies geschieht immer nach einem Reboot<\/em>.<\/p>\n

get-eventlog -Computername \"Server\" -logname system -entrytype information -after (get-date).adddays(-30) |? {$_.EventID -eq 6005} |fl Timegenerated<\/em><\/pre>\n
Zur\u00fcck geliefert wird das Datum und die Uhrzeit des Eintrags.<\/p>\n
Beispiel 2:<\/span><\/strong><\/p>\n
Sie m\u00f6chten wissen, wann zuletzt die Systemzeit eines Remote Servers synchronisiert wurde. Suchen Sie dazu nach der EventID 35<\/em> im SystemLog<\/em><\/p>\n
get-eventlog -Computername \"Server\" -LogName system -EntryType information -after (get-date).adddays(-100) |? {$_.eventid -eq 35} | fl timeg*,mess*,eve*<\/em><\/pre>\n
Beispiel 3:<\/strong><\/span><\/p>\n
Sie rufen alle Error Meldungen des Application Logs<\/em> der letzten 30 Tage ab<\/p>\n
get-eventlog -Computername \"Server\" -logname application -entrytype error -after (get-date).adddays(-30)<\/em><\/pre>\n
Damit erhalten Sie nat\u00fcrlich eine Vielzahl von Meldungen, die Sie gar nicht interessieren. Angenommen, eine remote Maschine verursacht auf einem DC diverse Fehler, die Sie aber in Ihrer Auswertung ignorieren m\u00f6chten, dann erreichen Sie das mit folgendem Ausschluss auf dem DC:<\/p>\n
get-eventlog -Computername \"DCName\" -logname application -entrytype error -after (get-date).adddays(-30) |? {$_.message -notlike \"Servername\"}<\/em><\/pre>\n
Kosmetik:<\/strong><\/span><\/p>\n
Wenn Sie sich das ganze noch als GridView<\/em> ausgeben lassen und somit auch in der Lage sind, graphisch zu filtern, k\u00f6nnen Sie den Event Viewer<\/em> g\u00e4nzlich vergessen.<\/p>\n
get-eventlog -logname application -entrytype information\u00a0-after (get-date).adddays(-30) |out-gridview<\/em><\/pre>\n
\"eventviewer\"<\/a><\/p>\n
Get-WinEvent<\/h2>\n
Mit Get-WinEvent<\/em> k\u00f6nnen Sie noch weit aus mehr\u00a0Optionen nutzen. Mit dem Parameter –ComputerName<\/em> ist der Abruf auch remote m\u00f6glich. Ein gro\u00dfer Vorteil ist, dass Sie gleichzeitig mehrere Logs durchsuchen k\u00f6nnen, was so einfach mit Get-EventLog<\/em> nicht m\u00f6glich ist. Die Abfrage \u00fcber Get-WinEvent<\/em> ist zudem wesentlich schneller als Get-EventLog<\/em>. Sie erreichen auch die Windows Logs \u00fcber dieses CMDLet<\/em>.<\/p>\n
\"1\"<\/a><\/p>\n
Zus\u00e4tzlich l\u00e4sst sich mit diesem CMDLet<\/em> auch ein archiviertes Log auswerten. Dazu dient der Parameter –Path<\/em>\u00a0unter dem Sie dann den Dateinamen des gespeicherten Logs angeben.<\/p>\n
Sie haben mit Get-WinEvent<\/em> im Prinzip keine wirklichen Grenzen mehr bei einer Log Auswertung oder der Suche nach bestimmten Events. Ich gehe hier mal auf zwei Filterm\u00f6glichkeiten n\u00e4her ein. Ja, es gibt noch viel mehr Optionen, aber f\u00fcr mich haben sich die beiden Filter \u00fcber –FilterHashtable<\/em> und –FilterXML<\/em> als die n\u00fctzlichsten im t\u00e4glichen Arbeiten heraus kristallisiert.<\/p>\n
F\u00fcr die schnelle Suche: FilterHashtable<\/em><\/h3>\n
\u00dcber die Hashtable<\/em>\u00a0Option k\u00f6nnen sie g\u00e4ngige Filter angeben. Diese Option ist nach meinem Geschmack die etwas einfachere und deshalb auch f\u00fcr die schnelle Suche etwas besser geeignet. Wenn Sie z.B. den letzten “unexpected shutdown<\/em>” suchen, erreichen Sie dies \u00fcber die Suche der vorher definierten Hashtable<\/em>, in der Sie das Log<\/em> und die EventID<\/em> festlegen.<\/p>\n
$Hashtable = @{logname=\"System\";ID=\"6008\"}<\/em>\r\n get-winevent -FilterHashtable $Hashtable -MaxEvents 1<\/em><\/pre>\n
Nat\u00fcrlich funktioniert der gleiche Aufruf auch f\u00fcr eine Remote<\/em> Maschine. So k\u00f6nnen Sie relativ fix den letzten “unexpected shutdown<\/em>” einer Liste von Computern erfassen.<\/p>\n
$Computer = \"Server1\",\"Server2\",\"Server3\"<\/em>\r\n $Hashtable = @{logname=\"System\";ID=\"6008\"}<\/em>\r\n $Computer | % {Get-WinEvent -ComputerName $_ -FilterHashtable $Hashtable -MaxEvents 1}<\/em><\/pre>\n
Noch komfortabler: FilterXML<\/h3>\n
\u00dcber die XML<\/em> Filteroption k\u00f6nnen Sie die Suche noch weiter granulieren. Ein einfacher XML<\/em> Filter (alle kritischen Events aus dem SystemLog<\/em>) sieht folgenderma\u00dfen aus:<\/p>\n
$FilterXml = ‘<QueryList><\/em>
\n\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<Query><\/em>
\n\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<Select Path=”System”>*[System[(Level=1 )]]<\/Select><\/em>
\n\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<\/Query><\/em>
\n\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<\/QueryList>’<\/em><\/p>\n
Der Aufruf erfolgt dann mit:<\/p>\n
Get-WinEvent -FilterXml $FilterXml<\/em><\/pre>\n
\u00dcber “Level<\/em>” w\u00e4hlen Sie aus, welche Events Sie erhalten m\u00f6chten:<\/p>\n
Level 1 = Critical<\/em>\r\nLevel 2 = Error<\/em>\r\nLevel 3 = Warning<\/em>\r\nLevel 4 = Information<\/em><\/pre>\n
Einen Einblick \u00fcber die M\u00f6glichkeiten macht die folgende Suchdefinition deutlich:<\/p>\n
\u00a0$FilterXml = '<QueryList>\r\n                   <Query>\r\n                       <Select Path=\"Application\">*[System[(Level=1 or Level=2 or Level=3) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]<\/Select>\r\n                       <Select Path=\"System\">*[System[(Level=2) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]<\/Select>\r\n                       <Select Path=\"HardwareEvents\">*[System[(Level=4) and TimeCreated[timediff(@SystemTime) &lt;= 7200000]]]<\/Select>\r\n                   <\/Query>\r\n               <\/QueryList>'<\/pre>\n
Im Application Log werden alle Critical<\/em>, <\/span>Error<\/em> und <\/span>Warning<\/em> Events aus der letzten Stunde gesucht. Im <\/span>Sytem Log<\/em> werden alle Error Events aus der letzten Stunde gesucht und im <\/span>HardwareEvents Log<\/em> werden alle <\/span>Information<\/em> Events der letzten 2 Stunden gesucht.<\/span><\/p>\n
Wie Sie sehen, sind die M\u00f6glichkeiten sehr vielf\u00e4ltig. Wildcards k\u00f6nnen leider nicht genutzt werden, das liegt aber im XML Format begr\u00fcndet.<\/p>\n
Und hier noch einige Beispiele:<\/h3>\n
Beispiel 1:<\/span><\/strong><\/p>\n
Sie m\u00f6chten die letzten 50\u00a0Events aus den\u00a0Logs\u00a0Application<\/em> und System<\/em>\u00a0sehen.<\/p>\n
Get-WinEvent -LogName appl*,sys* -MaxEvents 50<\/pre>\n
Beispiel 2:<\/span><\/strong><\/p>\n
Sie m\u00f6chten alle Fehler der letzten 24 Stunden im System Log<\/em> sehen.<\/p>\n
Get-WinEvent -FilterHashtable @{logname=\"system\";level=2;starttime=(get-date).addhours(-24)}<\/em><\/pre>\n
Beispiel 3:<\/span><\/strong><\/p>\n
Sie m\u00f6chten aus dem Windows Log\u00a0Microsoft-Windows-Kernel-EventTracing\/Admin<\/em> alle Events mit dem Opcode 14<\/em> sehen. Achten Sie darauf, dass die Abfrage des XML<\/em> Pfades Case Sensitive<\/em> ist!<\/p>\n
Get-WinEvent -LogName \"Microsoft-Windows-Kernel-EventTracing\/Admin\" -FilterXPath \"*\/System[Opcode=14]\"<\/em><\/pre>\n
Beispiel 4:<\/strong><\/span><\/p>\n
Sie m\u00f6chten sehen, ob das letzte Windows Backup auf einer Remote Maschine erfolgreich durchgelaufen ist.<\/p>\n
Get-WinEvent -ComputerName Computername -FilterHashtable @{logname=\"Microsoft-Windows-Backup\";Id=14} -MaxEvents 1<\/em><\/pre>\n
Beispiel 5:<\/strong><\/span><\/p>\n
Zum Abschluss noch eine Suche, die sehr deutlich macht, dass in Flexibilit\u00e4t und Geschwindigkeit der Event Viewer<\/em> auch nicht ansatzweise mithalten kann.<\/p>\n
Zuerst lesen wir alle verf\u00fcgbaren Logs mit Eintr\u00e4gen in eine Variable.<\/p>\n
$Logs = Get-WinEvent -ListLog * |? {$_.RecordCount -gt 0}<\/em><\/pre>\n
Damit sind auch alle Windows- und Anwendungslogs enthalten.<\/p>\n
Nun m\u00f6chten Sie in einem bestimmten Zeitfenster nach Fehlern und Warnungen suchen. Sagen wir zwischen 13:00 Uhr und 13:45 Uhr<\/p>\n
$Start = Get-Date \"13:00\"\r\n$End = Get-Date \"13:45\"\r\n\r\n$Logs | % {Get-WinEvent -ea si -FilterHashtable @{logname=$_.logname;starttime=$start;\r\nendtime=$end;level=2,3}}<\/pre>\n
Testen Sie das Beispiel. Sie werden absolut \u00fcberrascht sein, wie schnell das Ergebnis erscheint.<\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Sicher haben Sie sich auch schon h\u00e4ufiger \u00fcber den Windows Event Viewer \u00e4rgern m\u00fcssen. Nicht nur, dass dieser bei gro\u00dfen Datenmengen extrem langsam wird, auch die Filterm\u00f6glichkeiten sind doch sehr begrenzt. Wenn sich dies auch ab Windows 2008 schon merklich … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[468,490,488,487,489,600,486,599,492,601,485,553,491,549,515],"_links":{"self":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1148"}],"collection":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1148"}],"version-history":[{"count":49,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1148\/revisions"}],"predecessor-version":[{"id":2319,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1148\/revisions\/2319"}],"wp:attachment":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}