Speicherort der Protokolldateien abfragen

Speicherort der Protokolldateien abfragen

Windows Ereignisanzeige

Um herauszufinden wo die Protokolldateien abgelegt sind, kann man den aufwendigen Weg über die Ereignisanzeige oder die Registry gehen, oder gleich lieber per Powerhellskript abfragen.

Windows Ereignisanzeige

Speicherort der Protokolldateien abfragen

Die Speicherorte sind in der Registry abgelegt. Das Powershell-Skript bedient sich ebenfalls dieser Informationen.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Speicherort der Protokolldateien abfragen

Speicherort der Protokolldateien abfragen

Speicherort der Windows Protokolldateien per Powershell abfragen

$arrLogs = @(
“Application”
“HardwareEvents”
“Security”
“System”
)

$arrLogs | ForEach-Object {
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$_ -Name File | Select-Object PSChildName,File
}

Grab all Errors and Warnings

Mithilfe eines kurzen Einzeilers bekommen wir aus allen Logs Fehler und oder Warnungen angezeigt.

Grab all Errors and Warnings

Das Ganze lässt sich zeitlich anpassen. Wie das geht erfahrt ihr in diesem Artikel “Grab all Errors and Warnings

Event-Logs abfragen und anzeigen

Es ist ein leichtes Spiel mithilfe der Powershell nach definierten Einträgen zu suchen. Ereignisse können live oder auch anhand einer gespeicherten Datei durchsucht werden. Natürlich auch per Remote auf anderen Systemen im Netzwerk.

Wie das geht erfahrt ihr in diesem Artikel “Event-Logs abfragen und anzeigen“.