Auswerten des EventLogs und Speichern in Datei

[littleStar 28]

Ich versuche eine geordnete Übersicht in eine Text Datei zu schreiben

in der Form:

 

Datei User EventID

 

leider funktioniert das nicht :(

 

Wo liegt mein Fehler, wer kann mir Hinweise geben - bin da leider ein absoluter Frischling :(

 

Hier der Quellcode:

 

$events = get-eventlog security -InstanceId 4663 |
     Select TimeGenerated,ReplacementStrings |
     % {
         New-Object PSObject -Property @{
            TimeGenerated = $_.TimeGenerated
            UserName = $_.ReplacementStrings[2] + "\" + $_.ReplacementStrings[1]
            Object = $_.ReplacementStrings[6]
            Access = $_.ReplacementStrings[8]
        }
     }
$events |Out-File c:\Test.txt

leider ist die Ausgabe nicht wie gewünscht - der Dateiname wird leider Abgeschnitten und die Access ID wird mit abgebildet - wie schaffe ich es,

die Ausgabe ansehnlich zu gestalten?

[Fresh0razoR 10]

Hi,

 

also ich bin mir noch nicht ganz sicher, ob ich verstanden habe was du suchst, aber zunächst kommt mir dein Ansatz zu kompliziert vor. Probier mal folgendes:

 

Get-EventLog security -InstanceId 4663 | ft EventID, UserName, ReplacementStrings | Out-File c:\test.txt

 

=> Wobei das Array ReplacementStrings jetzt zu einer Zeile gehört. Alternativ kannst du das auch noch aufdröseln. Ist halt die Frage was du genau exportieren willst. Reichen die Informationen vom Eventlog-Objekt (System.Diagnostics.EventLogEntry) oder brauchst du mehr Informationen z.B. aus dem Array mit den Strings?

 

Gruß
Fresh

[littleStar 28]

Also ich möchte eine Liste haben:

 

Datei            User      wann gelöscht

____           _____   ____________

Datei.txt       User1    10.03.2013  13:53

Bild.jpg        User2     09.03.2013 11:00

Dokument    Admin    08.03.2013 12:00

Brief.1.txt     User1     08.03.2013  07:00

 

 

das wäre so meine Traumausgabe - auch schön in Excel zu sortieren ^^

bearbeitet 13. März 2013 von littleStar

[Dukel 454]

Ungetestet; du weißt, dass jedes mal das komplette Eventlog durchsucht wird?

 

"datei´tUser´twann geloescht" | out-file datei.csvget-eventlog security -InstanceId 4663 | % {    $datum = $_.TimeGenerated   [...]   "$datum´t[...]" | out-file datei.csv -append}

 

Bei solchen komplexeren Dingen baue ich lieber die Ausgabe selbst zusammen.

[littleStar 28]

nee - weiß ich nicht - erklärt aber, warum es so ewig braucht ^^

 

Wird wohl noch ne Weile dauern - bis ich da wirklich durchgestiegen bin ^^

 

hatte noch nicht so viel mit der PS zu tun und jetzt als Aufgabe im Praktikum zu lösen...

 

:(

bearbeitet 13. März 2013 von littleStar

[Fresh0razoR 10]

nee - weiß ich nicht - erklärt aber, warum es so ewig braucht ^^

 

Wird wohl noch ne Weile dauern - bis ich da wirklich durchgestiegen bin ^^

 

hatte noch nicht so viel mit der PS zu tun und jetzt als Aufgabe im Praktikum zu lösen...

 

:(

 

Kommt immer drauf an, wie oft das Script ausgeführt wird. Ist es ein häufiger zeitkritischer Job, dann ist PowerShell sowieso nicht unbedingt das richtige. Willst du das hier ab und zu mal laufen lassen oder nur vereinzelt, dann sieht es anders aus. PowerShell ist mächtig, nicht schnell!

[littleStar 28]

ok - meine Aufgabe ist, rauszufinden, wer welche Datei löscht ...

 

wie würdest Du das denn angehen?

 

Ist nicht zeitkritisch ....

 

bin zwar motiviert - aber leider unerfahren und mir fehlt noch die Übersicht :(

bin in der Umschulung - und da haben wir nur 3 Wochen praktisches zu Gesicht bekommen und den Rest hab ich mir selbst erarbeitet...

[Dukel 454]

Du kannst zwischenspeichern bis wohin du bei einem lauf im Eventlog kommst und beim nächsten Durchlauf ab dieser Stelle machen.

[littleStar 28]

ich schau mal - hab es aber bis dahin nicht hinbekommen :(