8
Ereignisanzeige: bestimmte Einträge auch in anderen Protokollen anzeigen
Hallo,
Wie der Titel schon sagt: gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen?
Als Beispiel:
Ich würde gerne alle Warnungen und Fehler von Anwendungs- und Dienstprotokolle -> Windows -> Windows Defender -> Operational auch in Windows-Protokolle -> System anzeigen lassen.
Mein Wunsch wäre das mit Boardmitteln umzusetzen und das Ganze sollte auch ohne Verzögerung funktionieren.
Dass ich mir in der Aufgabenplanung eine Aufgabe erstellen kann, welche die Ereignisse überprüft und ich diese dann per Write-EventLog wo anders hinschreiben kann, ist mir bekannt.
Meine Frage ist halt, ob sich dies auch "einfacher" bewerkstelligen lässt.
Grüße
Patrick
Wie der Titel schon sagt: gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen?
Als Beispiel:
Ich würde gerne alle Warnungen und Fehler von Anwendungs- und Dienstprotokolle -> Windows -> Windows Defender -> Operational auch in Windows-Protokolle -> System anzeigen lassen.
Mein Wunsch wäre das mit Boardmitteln umzusetzen und das Ganze sollte auch ohne Verzögerung funktionieren.
Dass ich mir in der Aufgabenplanung eine Aufgabe erstellen kann, welche die Ereignisse überprüft und ich diese dann per Write-EventLog wo anders hinschreiben kann, ist mir bekannt.
Meine Frage ist halt, ob sich dies auch "einfacher" bewerkstelligen lässt.
Grüße
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 542811
Url: https://administrator.de/contentid/542811
Printed on: April 24, 2024 at 22:04 o'clock
8 Comments
Latest comment
Hi,
dafür gibt es doch in der Ereignisanzeige die "Benutzerdefinierten Ansichten" (links im Baum). Dort kannst Du genau auswählen, was aus welchen Protokollen angezeigt werden soll.
E.
dafür gibt es doch in der Ereignisanzeige die "Benutzerdefinierten Ansichten" (links im Baum). Dort kannst Du genau auswählen, was aus welchen Protokollen angezeigt werden soll.
E.
Mein "Problem":
Der Eintrag muss in System oder Anwendungen stehen, damit ich ihm weiter verarbeiten kann.
Hintergrund:
Habe ein Programm am laufen, welche die Protokolle überprüft und ggf. Benachrichtigungen versendet.
Leider geht dies nicht für Einträge, welche unter Anwendungs- und Dienstprotokolle gespeichert sind.
Der Eintrag muss in System oder Anwendungen stehen, damit ich ihm weiter verarbeiten kann.
Hintergrund:
Habe ein Programm am laufen, welche die Protokolle überprüft und ggf. Benachrichtigungen versendet.
Leider geht dies nicht für Einträge, welche unter Anwendungs- und Dienstprotokolle gespeichert sind.
Ich nehme an, man müsste es umgekehrt formulieren, damit das eindeutig zu verstehen ist:
Dieses betreffende Programm kann ausschließlich die Protokolle "System" und "Anwendung" auswerten.
Korrekt?
Dieses betreffende Programm kann ausschließlich die Protokolle "System" und "Anwendung" auswerten.
Korrekt?
Ja, genau so ist es 
EDIT:
Wie eingangs erwähnt: Powershell-Workaround hätte ich mir schon gebastelt.
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
EDIT:
Wie eingangs erwähnt: Powershell-Workaround hätte ich mir schon gebastelt.
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
Zitat von @Badger:
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
"...gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen..."
So formuliert: Nein.Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
"...gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen..."
Edit:
Du könntest höchstens per PowerShell die Events eines gewünschten Protokolls auslesen und in eine anderes reinschreiben, z.B. dann in "Anwendung".
Genau das war bis dato mein Ansatz:
Hätte gehofft, dass dies halt einfacher geht.
Aber:
Grüße
Patrick
$eventResults = Get-WinEvent -ProviderName "Microsoft-Windows-Windows Defender" | ?{$_.Level -eq 2 -or $_.Level -eq 3}
$eventResult = $eventResults | Select-Object -first 1
$LogName = "Application"
$Source = "Windows Defender"
$EntryType = $eventResult | foreach { $_.Level }
switch ($EntryType) {
2 {$EntryType = "Error"}
3 {$EntryType = "Warning"}
}
$Category = $eventResult | foreach { $_.Task }
$EventId = $eventResult | foreach { $_.id }
$Message = $eventResult | foreach { $_.Message }
if ([system.diagnostics.eventlog]::SourceExists($Source) -eq $False) {
New-EventLog -LogName $LogName -Source $Source
}
Write-EventLog -LogName $LogName -Source $Source -EventID $EventId -EntryType $EntryType -Message $Message -Category $CategoryHätte gehofft, dass dies halt einfacher geht.
Aber:
- Im Defender selbst kann ich nichts ändern
- In der Ereignisanzeige selbst kann ich nichts finden
- In der Aufgabenplanung kann ich zwar auf bestimmte Ereignisse prüfen. Aber "duplizieren" kann man sie dort auch nicht.
Grüße
Patrick
Nein, das ist ja auch so nicht vorgesehen. Und Deine Frage ist die erste, welche ich in all den Jahren in dieser Richtung gelesen habe. Wenn das Programm nur genau diese beiden Evenlogs auswerten kann, dann ist das eben so. Pech gehabt oder anderes Programm verwenden.
Und Deine Frage ist die erste, welche ich in all den Jahren in dieser Richtung gelesen habe
Meine Sucherfolge im www hielten sich zu diesem Thema leider auch in Grenzen Pech gehabt oder anderes Programm verwenden.
Ich habs fast befürchtet.Danke trotzdem für deine Antworten!
Grüße
Patrick
