Есть ли способ поиска определенной строки (GPO) в сообщении журнала событий Windows? Вместо поиска идентификатора события или фильтрации по типу события?
1 ответ
1
Вы можете перенаправить вывод wevtutil в текстовый файл следующим образом:
wevtutil qe System /rd:true /f:text > Events.txt
Это запрашивает системный журнал событий в обратном направлении (т.е. сначала самые последние события) и выводит текст вместо XML-формата. /c:<n> может использоваться для ограничения количества возвращаемых событий.
Теперь вы можете осуществлять поиск по описанию события в текстовом файле, используя ваш любимый редактор.