Kuddel071089 9 Geschrieben 20. Juli 2016 Melden Teilen Geschrieben 20. Juli 2016 Hallo zusammen, in unserem AD ist eingestellt, dass ein UserAccount nach 5 falschen PWs für 10 Minuten gesperrt wird. Da häufiger alte PWs im Browser etc. gespeichert werden, sperren sich die User gerne aus. Jetzt möchte das Ereginislog der DCs dazu durchsuchen um die Fehlerquelle (PC) geraus zu fnden. Get-EventLog -LogName Security -ComputerName $dc1 | where {$_.eventID -eq 4740} Leider weiß ich jetzt nicht, wie ich da noch die Suche nach einem SamAccountName hinzufügen kann. Ich hoffe ihr könnt helfen. Danke schon einmal Mein erster Versuch ist schon einmal ganz vielversprechend cls Write-Host "Username: " -ForegroundColor Yellow -NoNewline $username = Read-Host Write-Host Write-Host "NTS605 wird abgefragt:" -ForegroundColor Cyan Get-EventLog -LogName Security -ComputerName NTS605 | where {$_.eventID -eq 4740 -and $_.Message -like "*$username*"} | Select Message | FL Nur dauert es eine ganze Weile, bis ein Ergebnis angezigt wird. Wenn ich direkt in der Ereignisanzeige schaue und dort nach der Event-ID suche, bekomme ich direkt Ergebnisse Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 20. Juli 2016 Melden Teilen Geschrieben 20. Juli 2016 Da nimmst Du besser eine XML-Abfrage - aber ich glaub, das kann PoSh nicht. Das Problem bei Deiner Abfrage ist, daß Du erst alle Events holst und danach filterst. wevtutil wäre das Werkzeug der Wahl :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.