Hallo zusammen,
vielleicht kann mir jemand einen Tipp geben, ich stecke hier fest…
Derzeitig leite ich für bestimmte Systeme die Windows-Eventlogs auf die Event Console.
Das läuft auch alles soweit prima. Nun möchte ich aus dem “System” Windows-Log die ID 1074, welche als “Information” erstellt wird, abgreifen, sodass diese in der Event Console angezeigt wird.
Bisher habe ich eine RegEx (von regex101) auf die ID 1074 gemacht, ohne Erfolg. Auch der Text (als text to match) mit entsprechenden RegEx. Gem. Event Simulator, alles “Grün”. Es wird aber nichts angezeigt.
Text aus der Orig. Ereignisanzeige:
The process “Hier würde der Prozesspfad stehen” has initiated the restart of computer “Hostname” on behalf of user “Useranem” for the following reason: Legacy API shutdown.
Regel in der EC:
Text to match:
The process (.) has initiated the restart of computer (.) on behalf of user (.) for the following reason: (.)
Rewrite text:
The process \1 has initiated the restart of computer \2 on behalf of user \3 for the following reason: \4
Danke für einen Tipp von euch!!
Viele Grüße
Timo