08.07.2025
1392
5
0Frage zu wevtutil
Moin,
ich nutze folgenden Befehl, um mir einen Teil der Ereignisanzeige anzuzeigen:
Das funktioniert soweit auch gut. Nun wollte ich aber bei einem Event mir nur den Teil unter "Eventdata" (rot markiert) anzeigen lassen. Der Anteil unter System ist in diesem Fall für mich nicht wichtig.
Ich hatte mal in der Zeile den Begriff "System" mit "Eventdata" ersetzt. Da kam aber keine Ausgabe bei heraus.
Gibt es eine Möglichkeit?
ich nutze folgenden Befehl, um mir einen Teil der Ereignisanzeige anzuzeigen:
wevtutil qe Application "/q:*[System [(EventID=63)]]" /f:text /rd:true /c:1 Das funktioniert soweit auch gut. Nun wollte ich aber bei einem Event mir nur den Teil unter "Eventdata" (rot markiert) anzeigen lassen. Der Anteil unter System ist in diesem Fall für mich nicht wichtig.
Ich hatte mal in der Zeile den Begriff "System" mit "Eventdata" ersetzt. Da kam aber keine Ausgabe bei heraus.
Gibt es eine Möglichkeit?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673747
Url: https://administrator.de/forum/wevtutil-ereignisanzeige-filter-windows-673747.html
Ausgedruckt am: 13.07.2025 um 00:07 Uhr
5 Kommentare
Neuester Kommentar
Powershell is your friend in every aspect
Get-WinEvent
Wenn wevtutil warum auch immer sein muss skippe eben den ersten Part.
bzw. wenn rein nur die Anzeige benötigt wird geht auch
(Get-WinEvent -FilterHashtable @{LogName="Application";Id=63} -MaxEvents 1).Message Wenn wevtutil warum auch immer sein muss skippe eben den ersten Part.
@echo off
>nul chcp 1252
for /f "skip=13 delims=" %%a in ('wevtutil qe Application "/q:*[System[EventID=63]]" /rd:true /c:1 /f:text') do echo %%a wevtutil qe Application "/q:*[System[EventID=63]]" /rd:true /c:1 /f:text | more +13 
Danke für deine Mühe!
Ich habe mal gerade auf die Schnelle den Part mit wevutil probiert. Da musste ich ja nur die Option more +13 anhängen.
Das habe ich an meinem Windows 11 Client gemacht. Das sah gut aus.
Anschließend hatte ich das auf dem Windows-Server 2019 ausprobiert. Dort soll das ja auch laufen. Leider wurde dort kein Text angezeigt, sondern nur die letzte Zeile.
Da ich nicht weiß was die Option more + 13 bedeutet, hatte ich mit den Ziffern experimentiert. Erhöhe ich den Wert, dann wird nichts mehr angzeigt, verringere ich um jeweils den Wert 1, dann werden nach und nach mehr Zeilen angezeigt.
Allerdings nicht aus dem Teil von EventData.
Ist die Ereignisanzeige von Windows 11 anders, als beim Server aufgebaut?
Ich werde mich aber morgen nochmal mit der Zeile von PS beschäftigen.
Ich habe mal gerade auf die Schnelle den Part mit wevutil probiert. Da musste ich ja nur die Option more +13 anhängen.
Das habe ich an meinem Windows 11 Client gemacht. Das sah gut aus.
Anschließend hatte ich das auf dem Windows-Server 2019 ausprobiert. Dort soll das ja auch laufen. Leider wurde dort kein Text angezeigt, sondern nur die letzte Zeile.
Da ich nicht weiß was die Option more + 13 bedeutet, hatte ich mit den Ziffern experimentiert. Erhöhe ich den Wert, dann wird nichts mehr angzeigt, verringere ich um jeweils den Wert 1, dann werden nach und nach mehr Zeilen angezeigt.
Allerdings nicht aus dem Teil von EventData.
Ist die Ereignisanzeige von Windows 11 anders, als beim Server aufgebaut?
Ich werde mich aber morgen nochmal mit der Zeile von PS beschäftigen.
In der Doku nachschlagen ist kein Option für dich? more
Das more überspringt einfach nur eine bestimmte Anzahl an Zeilen vom Anfang der Ausgabe.
Das more überspringt einfach nur eine bestimmte Anzahl an Zeilen vom Anfang der Ausgabe.
Ist die Ereignisanzeige von Windows 11 anders, als beim Server aufgebaut?
Nein aber wenn man die Ausgabe an more "piped" befinden sich zusätzliche Leerzeilen/Zeilenumbrüche in manchen Feldern und dann stimmt die Zahl dort eben nicht mehr. das liegt am unterschiedlichen Zeichensatz den beide Tools nutzen. Außerdem ist die Anzahl der Felder je nach OS anders. Nutze deswegen die Powershell das ist eh zuverlässiger als sich auf eine feste Anzahl an zu überspringender Zeilen zu verlassen!Ich werde mich aber morgen nochmal mit der Zeile von PS beschäftigen.
Definitiv zuverlässiger als der CMD Krampf der in Zeiten von XML& Co. absolut nicht mehr zeitgemäß ist! Unter Windows läuft heutzutage eh fast nichts mehr ohne die PS.1
Ich hatte heute etwas Zeit mich mit der PS-Variante zu befassen und das zu testen.
Der Befehl
funktioniert soweit gut.
Nun bin ich auf Einträge gestoßen, wo mir als Ergebnis kein Inhalt angezeigt wurde. Das betrifft leider auch die Anzeige, die ich hier benutzen wollte. Ich habe mal als Besipiel den Screenshot angehangen. Es gibt immer mal wieder Einträge, zu denen keine Beschreibung vorhanden ist.
Manchmal wird dann dahinter ein Textinhalt angehangen. Wie hier in diesem Besipiel zu sehen.
Gibt es eine Möglichkeit den rot markierten Teil auch zu Anzeige zu bringen?
Der Befehl
(Get-WinEvent -FilterHashtable @{LogName="Application";Id=63} -MaxEvents 1).Message funktioniert soweit gut.
Nun bin ich auf Einträge gestoßen, wo mir als Ergebnis kein Inhalt angezeigt wurde. Das betrifft leider auch die Anzeige, die ich hier benutzen wollte. Ich habe mal als Besipiel den Screenshot angehangen. Es gibt immer mal wieder Einträge, zu denen keine Beschreibung vorhanden ist.
Manchmal wird dann dahinter ein Textinhalt angehangen. Wie hier in diesem Besipiel zu sehen.
Gibt es eine Möglichkeit den rot markierten Teil auch zu Anzeige zu bringen?
Ja, schau dir die Properties des zurückgebenen Objektes einfach mal an, dann siehst du es auch selbst .
Get-WinEvent -FilterHashtable @{LogName="Application";Id=63} -MaxEvents 1 | select Properties 
