Gibt es eine Möglichkeit, in einer Windows-Ereignisprotokollmeldung nach einer bestimmten Zeichenfolge (einem GPO) zu suchen? Anstatt nach einer Ereignis-ID zu suchen oder nach Ereignistyp zu filtern?
Antwort1
Sie können die Ausgabe vonwevtutilin eine Textdatei wie folgt:
wevtutil qe System /rd:true /f:text > Events.txt
Dadurch wird das Systemereignisprotokoll in umgekehrter Richtung abgefragt (d. h. die aktuellsten Ereignisse zuerst) und die Ausgabe erfolgt im Text- statt im XML-Format. /c:<n>Kann verwendet werden, um die Anzahl der zurückgegebenen Ereignisse zu begrenzen.
Jetzt können Sie mit Ihrem bevorzugten Editor die Ereignisbeschreibungen in der Textdatei durchsuchen.