Windows Event ID auf Event Console

Hallo zusammen,

vielleicht kann mir jemand einen Tipp geben, ich stecke hier fest…

Derzeitig leite ich für bestimmte Systeme die Windows-Eventlogs auf die Event Console.
Das läuft auch alles soweit prima. Nun möchte ich aus dem “System” Windows-Log die ID 1074, welche als “Information” erstellt wird, abgreifen, sodass diese in der Event Console angezeigt wird.

Bisher habe ich eine RegEx (von regex101) auf die ID 1074 gemacht, ohne Erfolg. Auch der Text (als text to match) mit entsprechenden RegEx. Gem. Event Simulator, alles “Grün”. Es wird aber nichts angezeigt.

Text aus der Orig. Ereignisanzeige:

The process “Hier würde der Prozesspfad stehen” has initiated the restart of computer “Hostname” on behalf of user “Useranem” for the following reason: Legacy API shutdown.

Regel in der EC:

Text to match:
The process (.) has initiated the restart of computer (.) on behalf of user (.) for the following reason: (.)

Rewrite text:
The process \1 has initiated the restart of computer \2 on behalf of user \3 for the following reason: \4

Danke für einen Tipp von euch!!
Viele Grüße
Timo

Hallo,
bei Text to match sollten die Gruppen so aussehen (.*) sein und nicht so (.).

Karl

Hallo Karl,

da schlich sich ein copy und paste Fehler ein. Text to match lautet tatsächlich bei mir:

The process (.) has initiated the restart of computer (.) on behalf of user (.) for the following reason: (.)

Dennoch, es wird nichts angezeigt, auch wird nichts in das Archive verschoben…

Muss ich nochmal dran.
Gruß
Timo

*Die Sternchen werden nicht kopiert…

Letztendlich war es “nur” ein fehlerhafter Eintrag unter “Finetune Windows Eventlog monitoring”. Da war “System” deaktiviert. Angepasst und läuft!