badger
Goto Top

Ereignisanzeige: bestimmte Einträge auch in anderen Protokollen anzeigen

Hallo,

Wie der Titel schon sagt: gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen?

Als Beispiel:
Ich würde gerne alle Warnungen und Fehler von Anwendungs- und Dienstprotokolle -> Windows -> Windows Defender -> Operational auch in Windows-Protokolle -> System anzeigen lassen.


Mein Wunsch wäre das mit Boardmitteln umzusetzen und das Ganze sollte auch ohne Verzögerung funktionieren.
Dass ich mir in der Aufgabenplanung eine Aufgabe erstellen kann, welche die Ereignisse überprüft und ich diese dann per Write-EventLog wo anders hinschreiben kann, ist mir bekannt.
Meine Frage ist halt, ob sich dies auch "einfacher" bewerkstelligen lässt.

Grüße
Patrick

Content-Key: 542811

Url: https://administrator.de/contentid/542811

Printed on: February 25, 2024 at 12:02 o'clock

Member: emeriks
emeriks Feb 03, 2020 updated at 08:04:32 (UTC)
Goto Top
Hi,
dafür gibt es doch in der Ereignisanzeige die "Benutzerdefinierten Ansichten" (links im Baum). Dort kannst Du genau auswählen, was aus welchen Protokollen angezeigt werden soll.

E.
Member: Badger
Badger Feb 03, 2020 at 08:46:21 (UTC)
Goto Top
Mein "Problem":
Der Eintrag muss in System oder Anwendungen stehen, damit ich ihm weiter verarbeiten kann.

Hintergrund:
Habe ein Programm am laufen, welche die Protokolle überprüft und ggf. Benachrichtigungen versendet.
Leider geht dies nicht für Einträge, welche unter Anwendungs- und Dienstprotokolle gespeichert sind.
Member: emeriks
emeriks Feb 03, 2020 at 10:46:45 (UTC)
Goto Top
Ich nehme an, man müsste es umgekehrt formulieren, damit das eindeutig zu verstehen ist:
Dieses betreffende Programm kann ausschließlich die Protokolle "System" und "Anwendung" auswerten.
Korrekt?
Member: Badger
Badger Feb 03, 2020 updated at 10:53:09 (UTC)
Goto Top
Ja, genau so ist es face-smile


EDIT:
Wie eingangs erwähnt: Powershell-Workaround hätte ich mir schon gebastelt.
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
Member: emeriks
emeriks Feb 03, 2020 updated at 12:06:03 (UTC)
Goto Top
Zitat von @Badger:
Ich frage mich halt nur, ob es da wirklich keine saubere Lösung gäbe.
"...gibt es eigentlich die Möglichkeit, bestimmte Einträge auch in anderen Protokollen anzuzeigen..."
So formuliert: Nein.

Edit:
Du könntest höchstens per PowerShell die Events eines gewünschten Protokolls auslesen und in eine anderes reinschreiben, z.B. dann in "Anwendung".
Member: Badger
Badger Feb 03, 2020 at 11:06:22 (UTC)
Goto Top
Genau das war bis dato mein Ansatz:
$eventResults = Get-WinEvent -ProviderName  "Microsoft-Windows-Windows Defender" | ?{$_.Level -eq 2 -or $_.Level -eq 3}  
$eventResult = $eventResults | Select-Object -first 1
$LogName = "Application"  
$Source = "Windows Defender"  
$EntryType = $eventResult | foreach { $_.Level }
switch ($EntryType) {
	2 {$EntryType = "Error"}  
	3 {$EntryType = "Warning"}  
}

$Category = $eventResult | foreach { $_.Task }
$EventId = $eventResult | foreach { $_.id }
$Message = $eventResult | foreach { $_.Message }

if ([system.diagnostics.eventlog]::SourceExists($Source) -eq $False) {
	New-EventLog -LogName $LogName -Source $Source
}

Write-EventLog -LogName $LogName -Source $Source -EventID $EventId -EntryType $EntryType -Message $Message -Category $Category

Hätte gehofft, dass dies halt einfacher geht.

Aber:
  • Im Defender selbst kann ich nichts ändern
  • In der Ereignisanzeige selbst kann ich nichts finden
  • In der Aufgabenplanung kann ich zwar auf bestimmte Ereignisse prüfen. Aber "duplizieren" kann man sie dort auch nicht.

Grüße
Patrick
Member: emeriks
emeriks Feb 03, 2020 at 12:08:43 (UTC)
Goto Top
Nein, das ist ja auch so nicht vorgesehen. Und Deine Frage ist die erste, welche ich in all den Jahren in dieser Richtung gelesen habe. Wenn das Programm nur genau diese beiden Evenlogs auswerten kann, dann ist das eben so. Pech gehabt oder anderes Programm verwenden.
Member: Badger
Badger Feb 03, 2020 at 12:25:03 (UTC)
Goto Top
Und Deine Frage ist die erste, welche ich in all den Jahren in dieser Richtung gelesen habe
Meine Sucherfolge im www hielten sich zu diesem Thema leider auch in Grenzen face-smile

Pech gehabt oder anderes Programm verwenden.
Ich habs fast befürchtet.

Danke trotzdem für deine Antworten!

Grüße
Patrick