Auf dieser Seite

Auf dieser Seite

Wie man Systemereignisse effektiv mit PowerShell protokolliert

PowerShell ist wirklich praktisch, um Systemereignisse zu analysieren – insbesondere, wenn Sie herausfinden möchten, wann Ihr PC zuletzt neu gestartet oder heruntergefahren wurde, ohne endlose Protokolle manuell durchsuchen zu müssen. Es spart Ihnen viel Zeit, und sobald Sie sich damit vertraut gemacht haben, finden Sie zahlreiche Möglichkeiten, den Zustand Ihres Systems zu überwachen oder einfach Ihre Neugierde bezüglich der letzten Systemereignisse zu befriedigen. Zugegeben, die Befehle wirken anfangs vielleicht etwas abschreckend, aber nach ein wenig Einarbeitung wird alles verständlich. Denken Sie daran, PowerShell gelegentlich mit Administratorrechten auszuführen – insbesondere, wenn Sie tiefergehende Protokolle analysieren oder Automatisierungen vornehmen möchten.

Wie man die letzte Neustartzeit ermittelt und Herunterfahrvorgänge in PowerShell verfolgt

Ermitteln Sie mithilfe eines PowerShell-Skripts, wann Ihr Computer zuletzt neu gestartet wurde.

Dies ist ein typischer Anwendungsfall, um den Zeitpunkt des letzten Neustarts zu ermitteln. Wenn Ihr System langsam reagiert oder Sie Startprobleme beheben, hilft Ihnen diese Information, kürzlich erfolgte Neustarts auszuschließen. Der Befehl sucht nach spezifischen Ereignis-IDs, die mit dem Systemstart und -herunterfahren verknüpft sind, und zeigt nur die neueste an – ganz einfach. Bei manchen Systemen funktioniert es nicht immer sofort – möglicherweise aufgrund der Größe des Ereignisprotokolls oder des Zeitpunkts. Wenn die Ergebnisse nicht korrekt erscheinen, versuchen Sie es einfach nach einer Weile erneut oder überprüfen Sie Ihre Ereignisprotokolleinstellungen. Für optimale Ergebnisse und um die Zugriffsrechte sicherzustellen, führen Sie PowerShell als Administrator aus. Der Befehl lautet:

Get-WinEvent -LogName System | Where-Object {$_. Id -eq 6005 -or $_. Id -eq 6006 -or $_. Id -eq 6008} | Select-Object -Last 1 | Format-List

Dies ruft die Ereignis-IDs für den Systemstart (6005, 6006 und 6008) ab, wobei 6008 für ein spontanes Herunterfahren (Absturz oder Stromausfall) steht. Der Befehl „Select-Object -Last 1“ filtert das jeweils letzte Ereignis heraus. Solange Ihre Protokolldateien nicht zu groß sind, erhalten Sie einen recht genauen Zeitstempel des letzten Neustarts. Sie können Details wie Datum/Uhrzeit, Ereignisbeschreibung und gegebenenfalls Quellinformationen erwarten.

Überprüfen Sie die letzten Systemabschaltungen mit PowerShell.

Wenn Sie herausfinden möchten, wann Ihr Computer zuletzt heruntergefahren wurde, suchen Sie nach der Ereignis-ID 13. Diese wird jedes Mal im Systemereignisprotokoll protokolliert, wenn das Betriebssystem ordnungsgemäß oder aufgrund eines Fehlers heruntergefahren wird. Um die letzten 10 Einträge zum Herunterfahren abzurufen, verwenden Sie folgenden Befehl:

Get-EventLog -Newest 10 -LogName "System" -InstanceID "13"

Dieser Befehl zeigt die letzten Herunterfahrereignisse übersichtlich in einer Tabelle an. Sie sehen Zeitstempel, Ereignisdetails und können analysieren, wie häufig und wann die Herunterfahrereignisse aufgetreten sind. Nützlich bei der Fehlersuche in Startproblemen oder einfach, wenn Sie die Systemaktivität beobachten möchten.

Finden Sie heraus, wann das System zuletzt wieder gestartet wurde.

Um zu überprüfen, wann das System zuletzt gestartet wurde, suchen Sie nach der Ereignis-ID 12 – das ist die Meldung „System gestartet“.Das Vorgehen ist dasselbe wie oben, nur ändern Sie die Instanz-ID in 12.

Get-EventLog -Newest 10 -LogName "System" -InstanceID "12"

Dieser Befehl hilft Ihnen, den Zeitpunkt des letzten Einschaltens Ihres Rechners zu ermitteln. Diese Information kann vor geplanten Updates oder Wartungsarbeiten sehr nützlich sein. Sie können ihn sogar so automatisieren, dass er regelmäßig ausgeführt wird und die Daten protokolliert, falls Sie Automatisierung bevorzugen.

Da Windows diese Vorgänge recht regelmäßig protokolliert, ist die Verwendung von PowerShell-Befehlen wie diesen quasi ein kleines Systemtagebuch. Beachten Sie jedoch, dass Protokolle manchmal rotiert oder gelöscht werden. Daher sind diese nicht unbegrenzt verfügbar oder könnten das allererste Ereignis verpassen, falls das Protokoll gekürzt wird. Sollten Sie auf Berechtigungsprobleme stoßen, starten Sie PowerShell als Administrator – das behebt das Problem oft.

Eine weitere Methode zur Dokumentation von Systemereignissen mit PowerShell

Wenn Sie einen direkteren Ansatz bevorzugen, insbesondere wenn Sie bereits mit herkömmlichen Befehlszeilentools vertraut sind, bietet die PowerShell-Dokumentation zahlreiche Befehle zum Ausprobieren. Um beispielsweise die letzten zehn Herunterfahrvorgänge zu finden, Get-EventLog -Newest 10 -LogName "System" -InstanceID "13"ist der Befehl recht einfach, und die Ergebnisse werden in einer übersichtlichen Tabelle angezeigt. So müssen Sie nicht raten, welcher Protokolleintrag welchem ​​Ereignis entspricht – die Daten sind direkt verfügbar.

Und wenn Sie sehen möchten, wann das System zuletzt neu gestartet wurde, ersetzen Sie einfach die ID durch 12. Ganz einfach, oder? Sie können diese Befehle auch automatisieren, ein Skript erstellen oder sie in eine Überwachungsumgebung integrieren. PowerShell ist flexibel genug für solche Zwecke.

  • Stellen Sie sicher, dass PowerShell mit Administratorrechten ausgeführt wird, falls Protokolle fehlen oder Befehle fehlschlagen.
  • Beachten Sie, dass Protokolldateien rotiert oder gelöscht werden können, sodass neuere Einträge fehlen könnten.
  • Verwenden Sie die Befehle, um schnell eine Zeitleiste der Start-/Herunterfahrereignisse Ihres Systems zu erhalten.

Schon das Ausprobieren dieser Befehle kann ein erstaunlich klares Bild der Systemaktivitäten liefern. Nicht immer perfekt, aber deutlich besser als das manuelle Durchforsten der Windows-Protokolle.

Zusammenfassung

PowerShell ist nicht nur ein kompliziertes Skripting-Tool – auf einem System funktionierte es sofort, auf einem anderen musste ich es als Administrator ausführen oder die Protokollierungseinstellungen anpassen. Das ist irgendwie verständlich, denn Windows macht es einem manchmal unnötig schwer. Wie dem auch sei, wenn Sie Systemereignisse verfolgen möchten, sollten Ihnen diese Befehle die Arbeit erleichtern. Es ist kein Hexenwerk, sobald man den Dreh raus hat, und eine praktische Möglichkeit, den Überblick über die Vorgänge im Hintergrund Ihres Rechners zu behalten.

Zusammenfassung

  • Verwenden Sie PowerShell-Befehle, um die letzten Start-/Herunterfahrereignisse zu ermitteln.
  • Führen Sie PowerShell als Administrator aus, um vollen Zugriff zu erhalten.
  • Überprüfen Sie regelmäßig Ihre Ereignis-IDs und Protokolle, um einen Überblick zu behalten.
  • Automatisieren Sie Ihre Überwachung mithilfe von Skripten.

Ich drücke die Daumen, dass es hilft.

Ähnliche Artikel

Zuletzt angesehen

War dieser Artikel hilfreich?