Abfrage von Eventlog-Einträgen mit PowerShell
Eine alltägliche Aufgabe für Administratoren (zumindest für diejenigen, die noch nicht mit dem System Center Operations Manager arbeiten … ;-) ): Die Abfrage von Einträgen aus dem Eventlog. Das ist mit PowerShell ganz einfach: ‘Get-EventLog’, optional gefiltert z.B. mit ‘-LogName’. Aber wie fragt man Einträge eines bestimmten Zeitraums ab? Die Idee: Filtern mit ‘Where-Object’.
Die folgende Abfrage liefert uns eine kurze Tabelle, der wir die verfügbaren Attribute entnehmen können:
Get-EventLog –LogName System –Newest 10
Demnach könnten wir nach ‘Time’ filtern. Also z.B. für alle Einträge vom August:
Get-EventLog –LogName System | Where-Object {$_.Time –eq “Aug*”}
Damit bekommen wir jedoch keinerlei Ergebnis. Ok, erster Fehler: es muß ‘-like’ heißen, nicht ‘-eq’. Sonst bekommen wir nur genaue Übereinstimmungen, und ‘*’ wird nicht als Wildcard interprätiert. Also:
Get-EventLog –LogName System | Where-Object {$_.Time –like “Aug*”}
Nope. Immer noch nichts. Die Lösung bringt ein genauerer Blick auf die Attribute, z.B. mit:
Get-EventLog –LogName System –Newest 1 | fl
Es stellt sich heraus, daß die Spalte ‘Time’ in der Tabelle eine formatierte Anzeige des eigentlichen Attributs ‘Time Generated’ ist. Also nächster Versuch, immer noch für Einträge vom August:
Get-EventLog –LogName System | Where-Object {$_.TimeGenerated –like “*.08.*”}
Nope! Denn: die Anzeige des Datums mit ‘fl’ ist ebenfalls formatiert, und zwar entsprechend der Regionalen Einstellungen in der Systemsteuerung. Das PowerShell-Objekt speichert das Datum im US-Format ‘mm/dd/yyyy’, also z.B. ‘08/12/2009’.
Damit bekommen wir folgende Abfrage, die nun auch das gewünschte Ergebnis bringt:
Get-EventLog –LogName System | Where-Object {$_.TimeGenerated –like “08*”}
Mit freundlichen Grüßen!
Ralf M. Schnell
