Windows .evtx Archive durchsuchen

Um einem Problem auf die Schliche zu kommen, musste ich das Eventlog von Windows etwas erweitern. Dazu wurde unter dem Computermanagement (compmgmt.msc) das entsprechende Log (in meinem Fall das Security Log) so eingestellt, dass Logdateien nicht mehr gelöscht werden und alle 20MB eine neue Datei angelegt wird.

Das hat eine ganze Menge Files erzeugt (bei mir im Fraglichen Zeitrum ca. 650 Dateien), welche es nun gilt, nach dem relevanten Ereignis zu durchsuchen. Ich durchsuche diese nun in zwei schritten. Mit Hilfe der Powershell suche ich erst die relevanten Logs, um diese danach mit dem Eventviewer anzuschauen. Der Powershell Befehl zum finden von Text innerhalb der Dateien ist folgender:

Get-Childitem | foreach { Get-WinEvent -Path $_ | Where-Object {$_.Message -like '[searchString]'}} >> events.txt
Voraussetzung ist, dass der Befehl in dem Ordner ausgeführt wird, in dem die Archivdateien liegen. Über
>> events.txt
wird die Ausgabe in eine Datei umgeleitet, um die Zeiten, bei welchen die Zeichenkette aufgefunden wurde, festzuhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.