1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Events Log - recherche de Login

Question Events Log - recherche de Login

  • Kermit80
  • Auteur du sujet
  • Visiteur
  • Visiteur
il y a 7 ans 10 mois #25750 par Kermit80
Events Log - recherche de Login a été créé par Kermit80
Bonjour à toute la communauté,

Si je me suis permis de laisser un petit message aujourd'hui, c'est tout simplement que je me trouve à 2 doigts de la crise de nerf...
Voilà, j'ai début depuis 1/2 mois sur Powershell avec une certaine motivation et décidé de scripter/faire des modules dans le cadre de mon travail. Jusque là pas de pb et tout roulait pour le mieux, jusqu'à ce que je me décide à faire un script pour extraire des logs de DC.
Voici ce que j'ai déjà mis en place :
[code:1]
cls
Write-Host \"Merci de renseigner le loggin recherché : \" -ForegroundColor Green -BackgroundColor Black
$logg = Read-Host
$time = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime((Get-Date).AddHours(-24))
Get-WmiObject -class Win32_NTLogEvent -filter \"(EventCode=4771)  and (LogFile='Security') and (Type='Audit Failure') and (Message='Account Name:$logg*') and (TimeGenerated>='$time')\" | Select-Object @{name='TimeWritten';Expression={$_.ConvertToDateTime($_.TimeWritten)}}, message -First 5 |ft -Wrap -AutoSize

[/code:1]

Seulement voilà, quand je lance une recherche \"globale\" sans préciser le login, j'obtiens une liste de logs. En revanche, si j'en précise un, ça mouline et....plus rien.
Auriez-vous une idée ?
Merci d'avance
[img] screen.jpg [/img]

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 7 ans 10 mois #25751 par Philippe
Réponse de Philippe sur le sujet Re:Events Log - recherche de Login
salut Kermit80

ce que tu veux demande de faire un like
hors de memoire les filtres dans les évènements ne supporte pas les like

je te propose une autre solution par un where :

[code:1]
cls
Write-Host \"Merci de renseigner le loggin recherché : \" -ForegroundColor Green -BackgroundColor Black
$logg = Read-Host
$time = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime((Get-Date).AddHours(-2))
Get-WmiObject -class Win32_NTLogEvent -filter \"(EventCode=4771) and (LogFile='Security') and (Type='Audit Failure') and (TimeGenerated>='$time')\" |
Where-Object { $_.Message -like \"*$logg*\" } |
Select-Object @{name='TimeWritten';Expression={$_.ConvertToDateTime($_.TimeWritten)}}, message -First 5 |ft -Wrap -AutoSize
[/code:1]

Connexion ou Créer un compte pour participer à la conversation.

  • Kermit80
  • Auteur du sujet
  • Visiteur
  • Visiteur
il y a 7 ans 10 mois #25752 par Kermit80
Réponse de Kermit80 sur le sujet Re:Events Log - recherche de Login
:woohoo: Hooooo heaaaaaayyyy ça marche....

Si je le pouvais, je te roulerai une pelle, après tout ce temps passé dessus à comprendre pourquoi ça marchait pas :laugh:

Bon maintenant reste à voir pourquoi le script continue de tourner au lieu de stopper (limite dans le temps avec $time + limite en nombre avec -First) :pinch:

Encore merci pour ton aide :)

Connexion ou Créer un compte pour participer à la conversation.

  1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Events Log - recherche de Login
Temps de génération de la page : 0.036 secondes
Propulsé par Kunena