Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des...

Diskutiere und helfe bei Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des... im Bereich Allgemeines im Windows Info bei einer Lösung; Hallo, ich versuche, das Event 4625 () mit Powershell auszuwerten. Um an die Datenstruktur zu kommen, nutze ich folgenden Code:... Dieses Thema im Forum "Allgemeines" wurde erstellt von RashidNarwan, 7. Februar 2018.

  1. Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des...


    Hallo,


    ich versuche, das Event 4625 () mit Powershell auszuwerten.


    Um an die Datenstruktur zu kommen, nutze ich folgenden Code:


    (Get-WinEvent-ListProviderMicrosoft-Windows-Security-Auditing).Events |Where-Object{$_.Id -eq4625}


    Das ergibt folgendes Schema für das Ereignis 4625:



    Id : 4625

    Version : 0

    LogLink : System.Diagnostics.Eventing.Reader.EventLogLink

    Level : System.Diagnostics.Eventing.Reader.EventLevel

    Opcode : System.Diagnostics.Eventing.Reader.EventOpcode

    Task : System.Diagnostics.Eventing.Reader.EventTask

    Keywords : {}

    Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">

    <data name="SubjectUserSid" inType="win:SID" outType="xs:string"/>

    <data name="SubjectUserName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="SubjectDomainName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="SubjectLogonId" inType="win:HexInt64" outType="win:HexInt64"/>

    <data name="TargetUserSid" inType="win:SID" outType="xs:string"/>

    <data name="TargetUserName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="TargetDomainName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="Status" inType="win:HexInt32" outType="win:HexInt32"/>

    <data name="FailureReason" inType="win:UnicodeString" outType="xs:string"/>

    <data name="SubStatus" inType="win:HexInt32" outType="win:HexInt32"/>

    <data name="LogonType" inType="win:UInt32" outType="xs:unsignedInt"/>

    <data name="LogonProcessName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="AuthenticationPackageName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="WorkstationName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="TransmittedServices" inType="win:UnicodeString" outType="xs:string"/>

    <data name="LmPackageName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="KeyLength" inType="win:UInt32" outType="xs:unsignedInt"/>

    <data name="ProcessId" inType="win:pointer" outType="win:HexInt64"/>

    <data name="ProcessName" inType="win:UnicodeString" outType="xs:string"/>

    <data name="IpAddress" inType="win:UnicodeString" outType="xs:string"/>

    <data name="IpPort" inType="win:UnicodeString" outType="xs:string"/>

    </template>


    Description : Fehler beim Anmelden eines Kontos.


    Antragsteller:

    Sicherheits-ID: %1

    Kontoname: %2

    Kontodomäne: %3

    Anmelde-ID: %4


    Anmeldetyp: %11


    Konto, für das die Anmeldung fehlgeschlagen ist:

    Sicherheits-ID: %5

    Kontoname: %6

    Kontodomäne: %7


    Fehlerinformationen:

    Fehlerursache: %9

    Status: %8

    Unterstatus:: %10


    Prozessinformationen:

    Aufrufprozess-ID: %18

    Aufrufprozessname: %19


    Netzwerkinformationen:

    Arbeitsstationsname: %14

    Quellnetzwerkadresse: %20

    Quellport: %21


    Detaillierte Authentifizierungsinformationen:

    Anmeldeprozess: %12

    Authentifizierungspaket: %13

    Übertragene Dienste: %15

    Paketname (nur NTLM): %16

    Schlüssellänge: %17



    Somit ist mir bekannt, dass das Datenfeld "FailureReason" ein Unicode-String ist.


    Im Eventlog sieht das so aus:


    Fehler beim Anmelden eines Kontos.

     

    Antragsteller:

    Sicherheits-ID: SYSTEM

    Kontoname: TestClient$

    Kontodomäne: testlab.local

    Anmelde-ID: 0x3e7

     

    Anmeldetyp: 7

     

    Konto, für das die Anmeldung fehlgeschlagen ist:

    Sicherheits-ID: NULL SID

    Kontoname: User01

    Kontodomäne: testlab.local

     

    Fehlerinformationen:

    Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.

    Status: 0xc000006d

    Unterstatus:: 0xc000006a




    Wert 0.




    Ich benötige die Ausgabe "Unbekannter Benutzername oder ungültiges Kennwort."


    Folgenden Code wurde genutzt, um das Feld auszulesen:

    Get-WinEvent -FilterHashtable @{Path="c:\test.evtx";} -ErrorAction SilentlyContinue |
    Where-Object {($_.id -eq "4625")}|
    ForEach-Object{
    if ($_.Id -eq 4625){
    $SelectorStrings = [string[]]@(
    'Event/EventData/Data[@Name="LogonType"]',
    'Event/EventData/Data[@Name="FailureReason"]'
    )
    $PropertySelector = [System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new($SelectorStrings)

    $LogonType,$FailureReason = $_.GetPropertyValues($PropertySelector)

    #Create the PSCustomObject from the given Fieldnames
    [PSCustomObject]@{
    TimeCreated = $_.TimeCreated
    FailureReason = $FailureReason

    LogonType = $LogonType

    }
    }
    }|Export-Csv -NoTypeInformation -Force -Encoding UTF8 -Path 'c:\temp\failedlogin.csv'



    Als Ergebnis gibt es dann den Zeitstempel und einen StatusCode:


    "TimeCreated","FailureReason","LogonType"
    "04.12.2017 13:56:34","%%2313","7"
    "04.12.2017 10:20:28","%%2309","2"


    Im Microsoft-Artikel

    https://docs.microsoft.com/en-us/windows/device-security/auditing/event-4625


    steht, das Feld ist ein Unicode Feld:


    Failure Reason [Type = UnicodeString]: textual explanation of Status field value. For this event it typically has “Account locked out” value.


    •Status [Type = HexInt32]: the reason why logon failed. For this event it typically has “0xC0000234” value. The most common status codes are listed in “Table 12. Windows logon status codes.”



    Wie bekomme ich den dynamischen Beschreibungstext in meine csv-Datei? (


    Unbekannter Benutzername oder ungültiges Kennwort. oder eben was da steht im Feld?)



    Danke
     
  2. User Advert


    Hi,

    willkommen im Windows Forum!
Thema:

Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des... - Allgemeines

Die Seite wird geladen...

Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des... - Similar Threads - Powershell GetWinEvent Extended

Forum Datum

Outlook 365 anstelle von mail nutzen

Outlook 365 anstelle von mail nutzen: Hallo, ich möchte gerne Outlook weiterhin nutzen, nun habe ich ein email account bei web.de und wenn ich die email Weiterleitung über IMAP einrichten kann ich die neuen Posteingänge nur über die...
Microsoft Office 2. Januar 2019

Powershell // Initialisation Error

Powershell // Initialisation Error: Hi all, don´t know whether i chose the right Category..... tried to open my Powershell today and it closes immediately after start..... To get more Information i opended cmd and typed...
Apps 10. Dezember 2018

Powershell Ergebnisse sind nicht alle angezeigt

Powershell Ergebnisse sind nicht alle angezeigt: Hallo zusammen -.- ich wollte gerade mal die Klassen und die Eigenschaften von "gwim" Anzeigen lassen. Jetzt habe ich das Problem das teilweise die Ergebnisse abgekürzt werden. Wie kann ich mir...
Allgemeines 7. September 2017

Word anstelle von Wordmobile

Word anstelle von Wordmobile: Immer wenn ich ein Word-Dokument aus dem OnlineWord öffnen will, startet WordMobile anstelle vom Word 2016. Ich habe versucht die Protokolleinstellung zu ändern aber ich kann nur Apps aus dem...
Microsoft Office 30. Mai 2017

Wie die PowerShell 4 unter Win7 nutzen?

Wie die PowerShell 4 unter Win7 nutzen?: Habe mir hier die PowerShell-Installerdatei runtergeladen: https://www.microsoft.com/de-de/download/details.aspx?id=40855 installiert, gebootet, doch keine neuen Cmdlets sind benutzbar. Auf...
Allgemeines 28. Februar 2017

Falsche Ausgabe bei Seitenlayout - Druckbereich festlegen

Falsche Ausgabe bei Seitenlayout - Druckbereich festlegen: Windows 10 /64 Updates installiert bis 18.10.2016 Bei der Funktion "Druckbereich festlegen" werden Zeilen des Dokuments durch die ersten Zeilen der Tabelle überschrieben und die Zeilenhöhe...
Microsoft Office 19. Oktober 2016

Photoshop CS3 Extended

Photoshop CS3 Extended: Ich habe mir mal die Testversion gezogen. Wenn man nun sein Bild Sig/ etc speichern will, wie kann man das Bild in jpeg umwandeln?
Software 27. März 2008
Powershell - GetWinEvent Extended Datafield: FailureReason Text ausgabe anstelle des... solved

Users found this page by searching for:

  1. powershell eventlog anmeldetyp

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.