Systemereignisse mit der Powershell dokumentieren

Mit der Windows PowerShell lassen sich sämtliche Systemereignisse der Ereignisanzeige dokumentieren. Das ermöglicht eine schnelle Kontrolle und kann auch zu für spätere Nachweise eingesetzt werden. Der Artikel soll Dir beispielhaft zeigen, wie sich die letzten Neustarts eines Computers ermitteln lassen. Das vorgestellte Skript lässt sich auf alle Windows Ereignisse einstellen.

Systemereignisse mit PowerShell dokumentieren

Wird ein Computer heruntergefahren, wird dies im Windows Ereignisprotokoll eingetragen:

„Das Betriebssystem wurde zur Systemzeit xyz heruntergefahren“ / Ereignis-ID 13

Das Ereignisprotokoll können wir mit der Windows PowerShell auf bestimmte Ereignis-IDs durchsuchen. Hierzu verwenden wir das CMDLet „Get-EventLog„. Mit diesem Befehl kann direkt auf die verschiedenen Protokolle zugegriffen werden.

Möchte ich nun die letzten zehn Zeitpunkte herausfinden, an denen mein Computer heruntergefahren wurde, muss ich lediglich den folgenden Befehl absetzen:

Get-EventLog -Newest 10 -LogName "System" -InstanceID "13"

Das Ergebnis wird in einer übersichtlichen Tabelle ausgegeben und man kann sofort Rückschlüsse anhand der gewonnenen Informationen schließen.

Wann wurde der Computer heruntergefahren — Übersichtliche Ausgabe der letzten Shutdowns des Rechners.

Wann wurde der Rechner die letzten Male gestartet

Das Ganze lässt sich natürlich auch für den Systemstart anwenden. Die zugehörige ID 12 besagt laut EventLog „Das Betriebssystem wurde zur Systemzeit xyz gestartet„. In der PowerShell muss daher nur die ID ausgetauscht werden und schon erhalten wir eine Übersicht der letzten Systemstarts.

Get-EventLog -Newest 10 -LogName "System" -InstanceID "12"

Letzte Neustarts eines Computers ermitteln — Mit der PowerShell lassen sich schnell die letzten Neustarts eines Computers ermitteln.

Das Ereignisprotokoll kann mit diesem Befehl auf jedes beliebige Ereignis durchsucht werden. Der Befehl kann beispielsweise in automatisierte Skripte oder in das Monitoring eingebaut werden.

Weitere nützliche PowerShell-Skripte:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

Über den Autor: René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.

2 Kommentare

Dante 10. August 2019 um 23:07 Uhr - Antworten
Hallo,
ich habe von Windows 7 auf Windosw 10 geupdated.
Besteht eine Möglichkeit das Ereignisprotokoll aus der Zeit vor dem Update abzurufen?
Ich möchte lediglich feststellen, ob an einem bestimmten Datum der PC gestartet wurde.
Ich würde mich wirklich sehr über eine Antwort freuen, da es sehr wichtig für mich ist.
Viele Grüße,
Dante
- René Albarus 11. August 2019 um 12:32 Uhr - Antworten
  Hallo Dante,
  ich könnte mir vorstellen, dass Du im Verzeichnis C:\Windows.old noch fündig wirst. Dort müssten die .evt Dateien noch im Unterverzeichniserzeichnis system32\config liegen.