Windows

Eventlogs an/abmelden suchen

Boa eben mal gerade wieder ein paar Stunden mit Powershell gekämpft… Jemand wollte von mir wissen wann sich ein User an bzw abgemeldet hat in seinem Netzwerk.

Klingt auch relativ simple , aber wenn man die Eventlogs unter Security (Sicherheit) anschaut findet man jede menge Einträge. Klar kann man sich auch Filter setzen unter 2008/R2 aber diese führten zu keinem Ziel. Manuelles durchsuchen hingegen schon *argh*. Nun kam die Idee mit irgendeinem Tool das zu machen , aber nichts auf die schnelle zu finden.

Also ging es ab auf die Powershell da dsquery auch nicht viel brachte.

Get-WinEvent -path c:meinpfadevent.evtx | where-object {$_.message -match „Anmeldename“}  | Out-File -FilePath Username“_login_events.csv“ -Append

bzw.

Get-WinEvent Security | where-object {$_.message -match „Anmeldename“}  | Out-File -FilePath Username“_login_events.csv“ -Append

Der erste Befehl durchsucht ein gespeicherten Eventlog der zweite das aktuelle Ereignissprotokoll , beide schreiben dann in eine Datei namens: Username_login_events.csv

Da dies aber nicht auf die EventIDs festgelegt ist wird auch alles andere was zu dem Username eingetragen ist mit gespeichert, aber die 2 Zeilen die es maximal sind kann ich dann auch so noch filtern.