Hallo alle zusammen,
ich wollte Windows Sicherheit Ereignisprotokolle von 5 verschiedenen Servern nach bestimmten Event-IDs filtern. Zurzeit wird es folgendes gemacht:
# Die Logfiles suchen, welche im Namen ein gestriges Datum haben.
$logfiles = Get-ChildItem $InputLogs | Where-Object {$_.Name -match [DateTime]::Now.AddDays(-1).ToString("yyyyMMdd")}
# Alle Events mit ID-Nummern 4625, 4768, 4771, 4776 suchen
foreach($log in $logfiles)
{
$events += get-WinEvent -oldest -Path $log.FullName -FilterXPath "*[System[(EventID=4625 or EventID=4768 or EventID=4771 or EventID=4776)]]"
}
Diese Suche funktioniert, aber sie dauert mehr als eine Stunde. Es gibt genug Einträgen in jedem Event-Log. Meine Frage dazu, wie kann der Filter optimiert werden um die Zeit zu verkürzen?
Danke im Voraus
Beste Grüße
Redsi