Ereignisanzeige: bestimmte Einträge auch in anderen Protokollen anzeigen

Hallo,

Wie der Titel schon sagt: gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen?

Als Beispiel:
Ich würde gerne alle Warnungen und Fehler von Anwendungs- und Dienstprotokolle -> Windows -> Windows Defender -> Operational auch in Windows-Protokolle -> System anzeigen lassen.

Mein Wunsch wäre das mit Boardmitteln umzusetzen und das Ganze sollte auch ohne Verzögerung funktionieren.
Dass ich mir in der Aufgabenplanung eine Aufgabe erstellen kann, welche die Ereignisse überprüft und ich diese dann per Write-EventLog wo anders hinschreiben kann, ist mir bekannt.
Meine Frage ist halt, ob sich dies auch "einfacher" bewerkstelligen lässt.

Grüße
Patrick

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 542811

Url: https://administrator.de/contentid/542811

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

8 Kommentare

Neuester Kommentar

Hi,
dafür gibt es doch in der Ereignisanzeige die "Benutzerdefinierten Ansichten" (links im Baum). Dort kannst Du genau auswählen, was aus welchen Protokollen angezeigt werden soll.

E.

Mein "Problem":
Der Eintrag muss in System oder Anwendungen stehen, damit ich ihm weiter verarbeiten kann.

Hintergrund:
Habe ein Programm am laufen, welche die Protokolle überprüft und ggf. Benachrichtigungen versendet.
Leider geht dies nicht für Einträge, welche unter Anwendungs- und Dienstprotokolle gespeichert sind.

Ich nehme an, man müsste es umgekehrt formulieren, damit das eindeutig zu verstehen ist:
Dieses betreffende Programm kann ausschließlich die Protokolle "System" und "Anwendung" auswerten.
Korrekt?

Ja, genau so ist es

EDIT:
Wie eingangs erwähnt: Powershell-Workaround hätte ich mir schon gebastelt.
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.

Zitat von @Badger:
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
"...gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen..."

So formuliert: Nein.

Edit:
Du könntest höchstens per PowerShell die Events eines gewünschten Protokolls auslesen und in eine anderes reinschreiben, z.B. dann in "Anwendung".

Genau das war bis dato mein Ansatz:

$eventResults = Get-WinEvent -ProviderName  "Microsoft-Windows-Windows Defender" | ?{$_.Level -eq 2 -or $_.Level -eq 3}  
$eventResult = $eventResults | Select-Object -first 1
$LogName = "Application"  
$Source = "Windows Defender"  
$EntryType = $eventResult | foreach { $_.Level }
switch ($EntryType) {
	2 {$EntryType = "Error"}  
	3 {$EntryType = "Warning"}  
}

$Category = $eventResult | foreach { $_.Task }
$EventId = $eventResult | foreach { $_.id }
$Message = $eventResult | foreach { $_.Message }

if ([system.diagnostics.eventlog]::SourceExists($Source) -eq $False) {
	New-EventLog -LogName $LogName -Source $Source
}

Write-EventLog -LogName $LogName -Source $Source -EventID $EventId -EntryType $EntryType -Message $Message -Category $Category

Hätte gehofft, dass dies halt einfacher geht.

Aber:

Im Defender selbst kann ich nichts ändern
In der Ereignisanzeige selbst kann ich nichts finden
In der Aufgabenplanung kann ich zwar auf bestimmte Ereignisse prüfen. Aber "duplizieren" kann man sie dort auch nicht.

Grüße
Patrick

Nein, das ist ja auch so nicht vorgesehen. Und Deine Frage ist die erste, welche ich in all den Jahren in dieser Richtung gelesen habe. Wenn das Programm nur genau diese beiden Evenlogs auswerten kann, dann ist das eben so. Pech gehabt oder anderes Programm verwenden.