Есть ли способ поиска определенной строки (GPO) в сообщении журнала событий Windows? Вместо поиска идентификатора события или фильтрации по типу события?
решение1
Вы можете перенаправить выводwevtutilв текстовый файл следующим образом:
wevtutil qe System /rd:true /f:text > Events.txt
Это позволяет опрашивать системный журнал событий в обратном направлении (т. е. сначала самые последние события) и выводить данные в текстовом формате вместо XML. /c:<n>Может использоваться для ограничения количества возвращаемых событий.
Теперь вы можете выполнять поиск по описаниям событий в текстовом файле, используя ваш любимый редактор.