EventLog Abfrage verhält sich komisch.

Vorgeschichte:
In unserer Firma gibt es mehere Hundert Aussendienstler die alle mit einem Notebook ausgestattet sind. Wenn die in eine Niederlassung kommen wird das Notebook nicht am LAN neu gestartet sondern nur Kabel rein, aus den Standby wecken und gut. Somit startet kein Logonscript, GPOs werden nicht aktualisiert, Patche werden nicht gezogen und unsere Softwareverteilung greift nicht. Die Leute anweisen den PC am LAN einmal zu rebooten bringt nix.

Idee:
Ein Dienst auf den Notebooks, welcher bei EventLogCode 4201 (Netzwerkkabel wurde Angeschlossen) eine Meldung für den User bringt, dass er doch bitte den PC neu startet.

Das Script (bisher):
Die Vorlage war ein VBscript...

$objWMIService=ObjGet("winmgmts:{impersonationLevel=impersonate, (Security)}!\\" & "." & "\root\cimv2")

$colMonitoredEvents = $objWMIService.ExecNotificationQuery ("Select * from __instancecreationevent where TargetInstance isa 'Win32_NTLogEvent' and TargetInstance.EventCode = '4201' ")

Do
$objLatestEvent = $colMonitoredEvents.NextEvent
msgbox(1,"","Willkommen im Netz. Bitte starten Sie den Computer neu...")
Until 1

Das Problem:
Das Script läuft in diesem Loop und bringt auch artig die Meldung beim passenden Event. Aber danach beendet sich das Script. Aber es sollte doch weiter in dem Loop laufen, oder nicht? Was ist falsch?

Des weiteren würde ich gerne die Meldung nur bringen, wenn die IP auch zum Firmennetz passt. Das heimische DSL sollte die Meldung nicht bringen.
Auch sollte die Meldung nicht kommen wenn der letzte Reboot wenigen als 12 Stunden her ist.

Meine Frage:
Wer kann mir sagen was an meine Logik falsch ist?
Und wer kann mir beim realisieren der Abfrage 'Wie lang ist der letzte Reboot her' helfen?

Danke

Sorry, Mein Fehler...
Der richtige EventCode ist 4201.
7036 nehme ich zum Scripttest. Dieser Code zeigt einen Dienststatus an.
Ist einfacher zu testen einen Dienst neu zu starten als das Netzwerkkabel zu ziehen.

Probiers nochmal mit 4201

chip

Hey Super. Ich hatte schon experimentiert mit @IPAdress1 und so...

Das Problem ist, dass unser Aussendiesnt immer mal an anderen Standorten reinschaut. Also auch ein anderes Gateway.
Wir könnten prüfen auf die ersten 2 IP-Segmente 10.49.

Hier mal mein Laienhafter Vorschlag

$FaNet="10.49."
$Message=0
If stringleft(@IPAddress1,6)=$FaNet Then $Message=1
If stringleft(@IPAddress2,6)=$FaNet Then $Message=1
If stringleft(@IPAddress3,6)=$FaNet Then $Message=1
If stringleft(@IPAddress4,6)=$FaNet Then $Message=1

If $Message=1 Then
msgbox(1,"","Willkommen im Netz. Bitte starten Sie den Computer neu...")
endif

Zitat von chip

Mh mich iritiert nur eines, kann bei euch jeder einfach so ins Netz nur in dem er Laptop anschließt? Habt ihr keine Sicherheitsvorkehrungen?

Erstmal ja. Eine Notebook bekommt dann erstmal ne IP. Und alles was man dann mit der IP machen kann, kann man machen. Aber mehr auch nicht.
Für alles andere wie Zugriffe auf Server oder so braucht mal natürlich Rechte und müsste auch nicht Mitglied der Domäne sein.

@ XovoxKingdom
Jo, das ist etwas Eleganter. Aber unser IP-Segment ist überall 10.49.
Danke aber trotzdem...

So, ich habe dank des Forums nun auch die UpTime des PCs im Script untergebracht.
Das Script bringt nun eine Meldung wenn der PC ein Firmen-IP bekommt und mehr als 24 Stunden nicht neu gestartet wurde.

Jetzt mal kurz zurück zum Ursprungsscript...

Ich hab ja schon viel gescriptet. In Notes, in VBA, VBS, Acces und so weiter.

Kann mir trotzdem jemand mal die Arbeitsweise dieses Scriptes erklären?

$objWMIService=ObjGet("winmgmts:{impersonationLevel=impersonate, (Security)}!\\" & "." & "\root\cimv2")

$colMonitoredEvents = $objWMIService.ExecNotificationQuery ("Select * from __instancecreationevent where TargetInstance isa 'Win32_NTLogEvent' and TargetInstance.EventCode = '4201' ")

While 1
$objLatestEvent = $colMonitoredEvents.NextEvent
msgbox(1,"","Willkommen im Netz. Bitte starten Sie den Computer neu...")
Wend

OK, Als erster erstelle ich ein Object. Was auch immer das für eins ist. Irgendwas Windows-Internes. Ich schätze mal das EventLog.
Als nächstes wird ein Abfrage auf das Object ausgeführt. Auch noch OK. Es wird nach Code 4201 gefiltet. OK. Das Ergebnis müsste doch jetzt ALLE 4201-Ereignisse aus dem Log enthalten, oder?

Jetzt blicke ich dann die Logik des Rests nicht mehr....

Kann mir das jemand irgendwie erleutern?

Danke

Jetzt mal kurz zurück zum Ursprungsscript...

Ich hab ja schon viel gescriptet. In Notes, in VBA, VBS, Acces und so weiter.
Kann mir trotzdem jemand mal die Arbeitsweise dieses Scriptes erklären?

$objWMIService=ObjGet("winmgmts:{impersonationLevel=impersonate, (Security)}!\\" & "." & "\root\cimv2")

$colMonitoredEvents = $objWMIService.ExecNotificationQuery ("Select * from __instancecreationevent where TargetInstance isa 'Win32_NTLogEvent' and TargetInstance.EventCode = '4201' ")

Do
ConsoleWrite ($colMonitoredEvents.TargetInstance.EventCode)
$objLatestEvent = $colMonitoredEvents.NextEvent
ConsoleWrite ("Willkommen im Netz. Bitte starten Sie den Computer neu...")
Until 1

OK, als erstes erstelle ich ein Object. Was auch immer das für eins ist. Irgendwas Windows-Internes. Ich schätze mal das EventLog.
Als nächstes wird eine Abfrage auf das Object ausgeführt. Auch noch OK. Es wird nach Code 4201 gefiltet. OK. Das Ergebnis müsste doch jetzt ALLE 4201-Ereignisse aus dem Log enthalten, oder?

Jetzt blicke ich dann die Logik des Rests nicht mehr....
Kann mir das jemand irgendwie erleutern?
Danke