Redsi

Den Link kannte ich noch nicht. Danke dafür.

bitte :)

Aber in meinem Vergleich zwischen FilterHashTable und FilterXpath habe ich keine Performance-Vorteile gemerkt...

Ich würde die Daten in den Speicher laden und erst dann verarbeiten. Vielleicht bringt Dir das noch einen Geschwindigkeitsvorteil. Schon mal über diese Variante probiert?

$objWinEvent = Get-WinEvent -LogName System | Where-Object {$_.Id -eq 4625 -or $_.Id -eq 4768 -or $_.Id -eq 4771 -or $_.Id -eq 4776 }

Edit: Korrektur

Ich habe einen Vergleich zwischen Where, FilterHashTable, FilterXml und FilterXpath gefunden http://learningpcs.blogspot.de/2012/05/powershell-v2-get-winevent-filtering.html

Danke für die Antworten

ich habe jetzt keine bessere Lösung auf die Schnelle, aber

ein "*" am Beginn eines Filters ist generell ganz schlecht für die Performance!

Ok, probiere ich ohne *

Probiere es mal mit "Get-EventLog"

...

Was mir einfällt, verliere ich in dem Fall eine XML-Struktur. Und sie brauche ich um auf Properties von Events (z.B. TargetUserName) zu zugreifen.

Hallo alle zusammen,

ich wollte Windows Sicherheit Ereignisprotokolle von 5 verschiedenen Servern nach bestimmten Event-IDs filtern. Zurzeit wird es folgendes gemacht:

# Die Logfiles suchen, welche im Namen ein gestriges Datum haben.
$logfiles = Get-ChildItem $InputLogs | Where-Object {$_.Name -match [DateTime]::Now.AddDays(-1).ToString("yyyyMMdd")} 

# Alle Events mit ID-Nummern 4625, 4768, 4771, 4776 suchen
foreach($log in $logfiles) 
{
    $events += get-WinEvent -oldest -Path $log.FullName -FilterXPath "*[System[(EventID=4625 or EventID=4768 or EventID=4771 or EventID=4776)]]"
}

Diese Suche funktioniert, aber sie dauert mehr als eine Stunde. Es gibt genug Einträgen in jedem Event-Log. Meine Frage dazu, wie kann der Filter optimiert werden um die Zeit zu verkürzen?

Danke im Voraus

Beste Grüße

Redsi

Hallo,

erstmal danke für die Antworten.

du kannst ein Password verschlüsseln ...

genau so was habe ich in Power Shell gemacht. Das Possword wird von einer Tastatur eingelesen und verschlüsselt. Das Script mit einer Verschlüsselung bzw einer Entschlüsselung vom Password funktioniert. Die Zeile

 
%Pfad%gpg2.exe --batch --yes --passphrase MyPassword -o %Testpfad%%Test%Datei.afp -d %Testpfad%in\AFPDatei.AFP.GPG

habe ich für Power Shell übernommen 

$GpgPath = 'C:\...\gpg.exe' 

& $GpgPath--batch --yes --passphrase $myPass -o $decryptFile -d $encryptFile 

Es funktioniert nicht, die Datei wird nicht entschlüsselt. Zur Info: diese Datei wurde mit GnuPG - Programm mit dem gleichen Password verschlüsselt.

Wo versteckt sich ein Fehler?

Hallo an alle,

Es gibt so einen Code (s.u.), wo im Klartext ein Password geschrieben ist. Gibt's eine Möglichkeit das Password (in dem Fall "MyPassword") auszublenden oder zu verschlüsseln? Was mir einfällt:

--passphrase-file file  : aber das Password darf nicht in eine Datei gespeichert werden.

--passphrase string: Klartext darf auch nicht

:Entschluesseln
echo die AFP-Datei Enstschluesseln
E:
cd "E:\%Ordner%\%Testlogs"
%Pfad%gpg2.exe --batch --yes --passphrase MyPassword -o %Testpfad%%Test%Datei.afp -d %Testpfad%in\AFPDatei.AFP.GPG

--passphrase-fd 0: geht auch nicht, da es automatisch übernommen werden soll und nicht jedes mal manuell eingetippt wird

Wie kann man den Code anpassen, dass bei jeder Ausführung  vom Skript das Password automatisch übernommen wird und nicht zu sehen ist?