none
Get-WinEvent von Forwarded Events , Inhalt ausgeben RRS feed

  • Frage

  • Hallo,

    ich sammle per Subscription bestimmte Events zusammen.

    Jetzt möchte ich das bei bestimmten Events eine Email mit dem Inhalt des Events verschickt wird.

    Bisher habe ich es aber nicht geschafft den Inhalt des Events auszugeben.

    hier mein

    Get-WinEvent -LogName "ForwardedEvents" -FilterXPath "*[System[(EventID=1116)]]" -MaxEvents 1 | format-table * -autosize

    Das Feld Message, in dem ich den text vermute ist leer.

    gruss max

    Dienstag, 4. Juni 2013 11:46

Antworten

  • Die Format-xxx Cmdlets sind hier keine gute Wahl! Wen du Daten Selektieren willst nimm Select-Object !

    Dies geht bei mir:

    Get-WinEvent -LogName "Windows Powershell" -FilterXPath "*[System[(EventID=400)]]" -MaxEvents 1 |  Select-Object -ExpandProperty Message


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Dienstag, 4. Juni 2013 13:24

  • $log =  "System"
    $ID = "4107"
    $mailbody = Get-WinEvent -LogName $log -FilterXPath  "*[System[(EventID=$id)]]" -MaxEvents 1 | ft -AutoSize -Wrap | Out-String 
    
    $mailbody
    

    Grüße, Denniver

     

    Blog: http://bytecookie.wordpress.com

    Hilf mit und markiere hilfreiche Beiträge als "Hilfreich" und Beiträge die deine Frage ganz oder teilweise beantwortet haben als "Antwort".

    Dienstag, 4. Juni 2013 13:28
    Moderator

Alle Antworten

  • Die Format-xxx Cmdlets sind hier keine gute Wahl! Wen du Daten Selektieren willst nimm Select-Object !

    Dies geht bei mir:

    Get-WinEvent -LogName "Windows Powershell" -FilterXPath "*[System[(EventID=400)]]" -MaxEvents 1 |  Select-Object -ExpandProperty Message


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Dienstag, 4. Juni 2013 13:24

  • $log =  "System"
    $ID = "4107"
    $mailbody = Get-WinEvent -LogName $log -FilterXPath  "*[System[(EventID=$id)]]" -MaxEvents 1 | ft -AutoSize -Wrap | Out-String 
    
    $mailbody
    

    Grüße, Denniver

     

    Blog: http://bytecookie.wordpress.com

    Hilf mit und markiere hilfreiche Beiträge als "Hilfreich" und Beiträge die deine Frage ganz oder teilweise beantwortet haben als "Antwort".

    Dienstag, 4. Juni 2013 13:28
    Moderator
  • Hallo,

    beide Varianten geben nichts aus.

    Bei dem Befehl:

    Get-WinEvent -LogName "ForwardedEvents" -FilterXPath "*[System[(EventID=1116)]]" -MaxEvents 1 | Select-Object -ExpandProperty Message

    bekomme ich folgenden Fehler:

    Select-Object : Cannot process argument because the value of argument "obj" is null. Change the value of argument "obj" to a non-null value.At line:1 char:110+ Get-WinEvent -LogName "ForwardedEvents" -FilterXPath "*[System[(EventID=1116)]]" -MaxEvents 1 | Select-Object <<<<  -ExpandProperty Message    + CategoryInfo          : InvalidArgument: (:) [Select-Object], PSArgumentNullException    + FullyQualifiedErrorId : ArgumentNull,Microsoft.PowerShell.Commands.SelectObjectCommand

    wenn ich dies nehme:

    Get-WinEvent -LogName "ForwardedEvents" -FilterXPath  "*[System[(EventID=1116)]]" -MaxEvents 1 | ft -AutoSize -Wrap | Out-String 

    bekomme ich folgende Ausgabe:
    TimeCreated         ProviderName                  Id     Message
    -----------         ------------                       --     -------
    04.06.2013 15:57:42 Microsoft Antimalware 1116

    Ich denke das liegt daran es es Forwarded Events sind.

    Das selbe Problem hat man wenn man diese Events mit wevtutil und /f:Text ausgibt. nur wenn man XML angeibt bekommt man alles, was dann aber nicht mehr Anwenderfreundlich ist.

    gruss max



    • Bearbeitet Max-2014 Dienstag, 4. Juni 2013 14:10
    Dienstag, 4. Juni 2013 14:09
  • Das ist sehr skurril. Es geht definitiv mit anderen Events. Exportier doch mal vor Spass ein Forwardedevent als XML und poste es bitte.
    Dienstag, 4. Juni 2013 14:16
    Moderator
  • Hi,

    ich hab mal einen der Events im Tab Details kopiert.

    Es muss etwas mit dem xml code zu tun haben. Bei anderen event ID's in dem Forwarded Events werden die Messages angezeigt.

    Aber auf den Inhalt der Message habe ich ja keinen Einfluss.

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft Antimalware" /> <EventID Qualifiers="0">1116</EventID> <Level>3</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2013-06-04T14:37:18.000000000Z" /> <EventRecordID>45206</EventRecordID> <Channel>System</Channel> <Computer>pc001.domain.local</Computer> <Security /> </System> - <EventData> <Data>%%860</Data> <Data>4.1.0522.0</Data> <Data>{FDAA2068-5DC0-4B0F-8060-05BED9CD5F0E}</Data> <Data>2013-06-04T14:37:18.051Z</Data> <Data /> <Data /> <Data>2147598479</Data> <Data>PWS:Win32/Zbot</Data> <Data>5</Data> <Data>Severe</Data> <Data>3</Data> <Data>Password Stealer</Data> <Data>http://go.microsoft.com/fwlink/?linkid=37020&name=PWS:Win32/Zbot&threatid=2147598479</Data> <Data>1</Data> <Data /> <Data>1</Data> <Data>3</Data> <Data>%%818</Data> <Data>C:\Users\username\AppData\Roaming\Carip\roun.exe</Data> <Data>domain\username</Data> <Data /> <Data>file:_C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XWZSGFJN\gft[1].exe</Data> <Data>4</Data> <Data>%%847</Data> <Data>1</Data> <Data>%%813</Data> <Data>0</Data> <Data>%%822</Data> <Data>0</Data> <Data>9</Data> <Data>%%887</Data> <Data /> <Data>0x00000000</Data> <Data>The operation completed successfully.</Data> <Data /> <Data>0</Data> <Data>0</Data> <Data>No additional actions required</Data> <Data /> <Data /> <Data>AV: 1.151.1575.0, AS: 1.151.1575.0, NIS: 18.151.0.0</Data> <Data>AM: 1.1.9506.0, NIS: 2.1.8904.0</Data> </EventData> </Event>


    Dienstag, 4. Juni 2013 14:44
  • Spontan sehe ich keinerlei Unterschied, die XML-Knoten und Elemente sind exakt die gleichen wie bei anderen Events.

    Hast du -zum Gegenbeweis- den Code auf deiner Maschine mal auf ein anderes Eventlog, sagen wir "System" losgelassen? Wenn nicht teste das mal, bevor wir hier in die falsche Richtung forschen.

    Grüße, Denniver


    Blog: http://bytecookie.wordpress.com

    Hilf mit und markiere hilfreiche Beiträge als "Hilfreich" und Beiträge die deine Frage ganz oder teilweise beantwortet haben als "Antwort".

    Dienstag, 4. Juni 2013 14:52
    Moderator
  • Hallo,

    ja wenn ich den Befehl

    Get-WinEvent -LogName "System" -FilterXPath "*[System[(EventID=1116)]]" -MaxEvents 1

    auf meinem lokalen Rechner ausführe, bekomme auch eine Ausgabe ohne Message

       ProviderName: Microsoft Antimalware

    Time            Created      Id      LevelDisplayName Message
    -----------                     --     ---------------- -------
    05.06.2013 12:20:01     1116

    gruss max

    Mittwoch, 5. Juni 2013 10:23
  • Dachte ichs mir doch. Du hast offenbar ein grundlegendes Problem auf der Kiste, das mit großer Wahrscheinlichkeit noch nicht einmal was mit Powershell zu tun hat.
    Ich würds mal mit den üblichen Sachen probieren:

    - Test mit anderem Account auf gleicher Maschine,
    - mit gleichem Account auf anderer Maschine,
    - sind GPO`s aktiv? -> wenn ja, hier mal weiterforschen,
    etc...

    Ansonsten können wir hier glaube ich weiter nichts tun.

    Grüße, Denniver


    Blog: http://bytecookie.wordpress.com

    Hilf mit und markiere hilfreiche Beiträge als "Hilfreich" und Beiträge die deine Frage ganz oder teilweise beantwortet haben als "Antwort".


    Mittwoch, 5. Juni 2013 11:40
    Moderator