Windows Ereignisanzeige
Um herauszufinden wo die Protokolldateien abgelegt sind, kann man den aufwendigen Weg über die Ereignisanzeige oder die Registry gehen, oder gleich lieber per Powerhellskript abfragen.
Speicherort der Protokolldateien abfragen
Die Speicherorte sind in der Registry abgelegt. Das Powershell-Skript bedient sich ebenfalls dieser Informationen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
$arrLogs = @(
“Application”
“HardwareEvents”
“Security”
“System”
)
$arrLogs | ForEach-Object {
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$_ -Name File | Select-Object PSChildName,File
}
Grab all Errors and Warnings
Mithilfe eines kurzen Einzeilers bekommen wir aus allen Logs Fehler und oder Warnungen angezeigt.
Das Ganze lässt sich zeitlich anpassen. Wie das geht erfahrt ihr in diesem Artikel “Grab all Errors and Warnings”
Event-Logs abfragen und anzeigen
Es ist ein leichtes Spiel mithilfe der Powershell nach definierten Einträgen zu suchen. Ereignisse können live oder auch anhand einer gespeicherten Datei durchsucht werden. Natürlich auch per Remote auf anderen Systemen im Netzwerk.
Wie das geht erfahrt ihr in diesem Artikel “Event-Logs abfragen und anzeigen“.
Ein Kommentar
Kommentare sind geschlossen.