Soms wil je op een snelle manier een overzicht van mislukte aanmeld pogingen, account lockouts of van recent aangemaakte accounts. Deze vind je terug onder “Security” binnen Eventviewer. Om niet alles door te hoeven scrollen kun je met powershell filteren op de Event ID’s.
| Event name | Event ID |
| Logon Failure | 4625 |
| Account Locked Out | 4740 |
| Account Created | 4720 |
Dat geeft de volgende powershell opdrachten. Foutieve aanmeldpogingen:
Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4625;} | Select-Object TimeCreated, Message | Format-Table -Wrap
Account lockouts:
Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740;} | Select-Object TimeCreated, Message | Format-Table -Wrap
Onlangs aangemaakte accounts:
Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4720;} | Select-Object TimeCreated, Message | Format-Table -Wrap