Workshop - Log-Dateien auf Windows-Systemen auswerten

Log-Dateien untersuchen

Bevor Sie nun beginnen, mithilfe dieses PowerShell-Kommandos die verschiedenen Log-Dateien zu untersuchen, sollten Sie unbedingt noch einen wichtigen Hinweis beachten: Alle Cmdlets, die in ihrem Namen das Substantiv "EventLog" beinhalten, können nur mit dem klassischen Format der Ereignisprotokolle zusammenarbeiten; sie sind nicht in der Lage, die Erweiterungen des neuen EXVT-Formats zu verarbeiten. Dazu gehören auch die folgenden Kommandos:

Clear-Eventlog,

Limit-Eventlog,

New-Eventlog ,

RemoveEventlog,

ShowEventlog und

WriteEventlog.

Mit diesen Kommandos können Sie natürlich auch auf Windows Server 2008 R2 oder Windows 7 auf die "klassischen" Ereignisdateien wie System, Sicherheit und Anwendungen zugreifen. Wollen Sie hingegen auf die vielen speziellen Log-Dateien und neuere Features zugreifen, so sollten Sie dazu das Cmdlet Get-WinEvent einsetzen. Es erfordert den Einsatz von Windows Vista, Windows Server 2008 R2 oder eine höhere Version. Zudem wird das Microsoft .NET Framework in der Version 3.5 oder höher benötigt.