Zählen von Einträgen gleicher ID im Ereignisprotokoll
Hi, Fabian hier. Situationen wie heute Vormittag kommen fast täglich vor - ein Kollege gibt einen kurzen Ping per Messenger, ob man eine Idee für folgendes Szenario hätte (neudeutsch: Brainstorming):
Bei einem Kunden lief das Ereignisprotokoll "Security" auf DCs mit Events voll, so daß die Server stark unter Last standen und das Log nach kürzester Zeit "überlief". Um nun die den Events zugrunde liegenden Fehler schneller einzugrenzen, sollten die Einträge nach der ID gruppiert und dann ausgezählt werden. Hat man erst einmal die Anzahl an gleichen Event IDs, weiß man ggf., wo man nach der Ursache für die Flut an Einträgen suchen muß und kann die Ursache des Fehlers meist schnell beheben.
Da SCOM zur Auswertung der Ereignisprotokolle momentan nicht genutzt werden konnte, mußte eine andere Lösung her. Zuerst dachten wir an den LogParser, der wirklich viele interessante Möglichkeiten bietet, solche (und viele andere) Szenarien schnell zu erledigen. Nach ein, zwei kurzen Test zeigte sich aber, daß einmal mehr die PowerShell die Anforderung ebenfalls sehr schnell lösen kann. Und da die uns bekannten Administratoren Einzeiler lieben, hier eine schnelle Lösung für die Fragestellung:
PS C:\> Get-EventLog Security | Group-Object EventID | Sort-Object Count -descending | Select-Object Count, Name | Format-Table -autosize
- Auslesen des "Security" Eventlogs: Get-EventLog
- Gruppierung der Events: Group-Object
- Sortierung der gruppierten Events nach der Anzahl: Sort-Object
- Ausgabe der beiden gewünschten Objekte "Count" und "Name": Select-Object
- Formatierung der Ausgabe als Tabelle: Format-Table
Ach, ich liebe die PowerShell... :-)
Viele Grüße
Fabian
Comments
Anonymous
January 01, 2003
The comment has been removedAnonymous
June 09, 2009
Hey Fabian! So langsam habe ich wirklich das Gefühl, dass ich mir die PowerShell aneigenen muss. Es wird immer unheimlicher... :) Cheers, FlorianAnonymous
June 09, 2009
Hallo, kann ich ein EVT-File auch ähnlich einfach auswerten? Ich hab nämlich kein Posh auf meinen DCs und möchte es auch nicht auf die Schnelle installieren. Gruß Walter