Eventlogs im Griff
1. August 2018Die Ereignisanzeige von Windows erzeugt unterschiedliche Einträge, etwa wenn Programme gestartet werden, Anwendungen „abstürzen“ oder Benutzeranmeldungen zu verzeichnen sind. Die entsprechenden Parameter können zudem angepasst werden, so kommen bei einer größeren Anzahl an zu überwachenden Systemen schnell größere mengen an Logdateien zusammen. Per Hand lassen sich die Einträge in den Logfiles (meist) nicht analysieren, zumal die eingesetzten Logdateien nicht besonders komfortabel zu durchsuchen sind.
Mit den passenden Skripten für die Windows Powershell lässt sich dies deutlich effizienter abwickeln. Dazu steht beispielsweise das Skript „Retrieve-AllEvents.ps1“ von „Ruud Borst“ zur Verfügung. Damit lassen sich mehrere Logfiles parallel durchsuchen, und beispielsweise gezielt alle Einträge eines gewissen Zeitraumes automatisiert durchsuchen und die Ergebnisse anzeigen – etwa im Webbrowser. Das Tool steht auf Technet zum kostenlosen Download bereit.