Wie kann ich Ereignisse in der Windows Ereignisanzeige nach Datum filtern?

Melden
  1. Einführung in die Ereignisanzeige
  2. Zugriff auf die Ereignisanzeige
  3. Grundlagen des Filterns nach Datum
  4. Vorgehensweise zum Filtern nach Datum
  5. Filtern mittels XML-Abfrage nach Datum
  6. Zusätzliche Tipps
  7. Fazit

Einführung in die Ereignisanzeige

Die Windows Ereignisanzeige ist ein wichtiges Tool zur Verwaltung und Überwachung von System-, Sicherheits- und Anwendungsprotokollen. Sie ermöglicht es Administratoren und Benutzern, Ereignisse wie Fehler, Warnungen oder Informationen zu untersuchen. Häufig möchte man dabei Ereignisse nach einem bestimmten Zeitraum filtern, um gezielt nur relevante Einträge anzuzeigen.

Zugriff auf die Ereignisanzeige

Um die Ereignisanzeige zu öffnen, können Sie die Tastenkombination Windows-Taste + R drücken und anschließend eventvwr eingeben. Alternativ finden Sie die Ereignisanzeige über das Startmenü, indem Sie nach Ereignisanzeige suchen.

Grundlagen des Filterns nach Datum

Die Ereignisanzeige bietet die Möglichkeit, Ereignisse nach verschiedenen Kriterien zu filtern. Darunter fällt auch die Einschränkung auf bestimmte Zeiträume. Dabei können Sie entweder vorgefertigte Filter verwenden oder benutzerdefinierte Filter mit zeitlichen Bedingungen erstellen.

Vorgehensweise zum Filtern nach Datum

Nachdem Sie die Ereignisanzeige geöffnet haben, navigieren Sie zunächst zu dem Protokoll, das Sie betrachten möchten, beispielsweise Windows-Protokolle und dann System oder Anwendung. Um nun nach Datum zu filtern, klicken Sie im rechten Bereich auf Aktuelles Protokoll filtern.... Es öffnet sich ein neues Fenster mit verschiedenen Filteroptionen.

Im Filterfenster befindet sich oben eine Eingabemaske namens Alle Ereignisse oder Filter. Im Reiter Filter können Sie unter anderem die Ereignisquelle oder die Ereignis-IDs wählen. Leider gibt es hier keine direkte Möglichkeit, ein Datumsfeld auszuwählen. Um trotzdem nach Datum zu filtern, nutzen Sie das Feld Benutzerdefinierter Filter oder erstellen eine XML-basierte Filterabfrage.

Filtern mittels XML-Abfrage nach Datum

Um einen präzisen Datumsfilter zu setzen, wechseln Sie im Filterfenster auf den Reiter XML und aktivieren Sie die Option Abfrage manuell bearbeiten. Dort können Sie eine XML-Abfrage einfügen, die ein bestimmtes Zeitfenster definiert.

Ein Beispiel für eine XML-Abfrage, die alle Ereignisse ab einem bestimmten Datum anzeigt, sieht wie folgt aus:

<QueryList> <Query Id="0" Path="System">

<Select Path="System">* ]]</Select>

</Query></QueryList>

<Select Path="System">* ]]</Select>

In diesem Beispiel werden alle Ereignisse aus dem Systemprotokoll angezeigt, die nach dem 1. Juni 2024 um Mitternacht (UTC) erstellt wurden. Das Datum muss im ISO 8601-Format mit Zeitzone angegeben sein (YYYY-MM-DDThh:mm:ss.sssZ). Wenn Sie auch ein Enddatum angeben möchten, können Sie die XML-Abfrage entsprechend erweitern:

<QueryList> <Query Id="0" Path="System"> <Select Path="System">* and TimeCreated ]] </Select> </Query></QueryList>

So werden nur Ereignisse zwischen dem 1. und 10. Juni 2024 angezeigt.

Zusätzliche Tipps

Beachten Sie, dass die Uhrzeit in der XML-Abfrage immer in UTC angegeben wird. Um die lokale Zeit umzurechnen, müssen Sie die entsprechende Zeitverschiebung berücksichtigen. Zudem können Sie durch Kombination mit anderen Filterkriterien, wie der Ereignis-ID oder Quelle, die Suche weiter eingrenzen.

Nach Erstellung und Übernahme der XML-Abfrage wird die Ereignisanzeige nur noch die gefilterten Ereignisse anzeigen. Sie können diesen Filter jederzeit wieder entfernen oder anpassen.

Fazit

Das Filtern von Ereignissen nach Datum in der Windows Ereignisanzeige ist nicht über einfache Filterfelder möglich, sondern erfordert meist den Einsatz von benutzerdefinierten XML-Filtern. Durch die Verwendung der TimeCreated-Eigenschaft und Eingabe der gewünschten Zeiträume im ISO-Format lassen sich gezielt Ereignisse innerhalb bestimmter Zeitfenster anzeigen. Dies ist besonders hilfreich, um Fehler oder Auffälligkeiten während eines bestimmten Zeitraums zu analysieren.

0
0 Kommentare