Wenn Sie ein Ereignisprotokoll betrachten, können Sie die angezeigten Ereignisse filtern. Die Ereignisfilterung ist temporär. Ein angewandter Filter kann leicht wieder entfernt werden. Wenn Sie einen nützlichen Filter erstellen, den Sie wiederverwenden möchten, können Sie ihn jedoch als benutzerdefinierte Ansicht speichern.
So filtern Sie die angezeigten Ereignisse |
Starten Sie die Ereignisanzeige.
Markieren Sie in der Konsolenstruktur das zu filternde Protokoll.
Klicken Sie im Menü Aktion auf Aktuelles Protokoll filtern.
Um Ereignisse aufgrund des Zeitpunkts zu filtern, an dem sie auftreten, wählen Sie den gewünschten Zeitraum aus der Dropdownliste Protokolliert am aus.
Hinweis Wenn Sie keine passende Option finden, wählen Sie Benutzerdefinierter Bereich aus. Geben Sie im Dialogfeld Benutzerdefinierter Bereich das erste und das letzte Datum einschließlich Uhrzeit an, von denen Sie Ereignisse sehen möchten. Klicken Sie auf OK.
Aktivieren Sie in Ereignisebene die Kontrollkästchen neben den Ereignisebenen, die der Filter anzeigen soll.
Aktivieren Sie in Ereignisquelle die Kontrollkästchen neben den Ereignisquellen, die der Filter anzeigen soll.
Geben Sie in Ereignis-IDs die Kennungen der Ereignisse an, die der Filter anzeigen soll. Trennen Sie mehrere Ereignis-IDs durch Kommas. Wenn Sie Ereignisse aus einem Bereich von IDs aufnehmen möchten, zB. von 4624 bis 4634, geben Sie 4624-4634 ein. Wenn der Filter alle Ereignisse außer denen mit einer bestimmten ID anzeigen solll, geben Sie die IDs dieser Ausnahmen mit einem vorangestellten Minuszeichen ein. Um z.B. alle IDs zwischen 4624 und 4634 außer 4630 aufzunehmen, geben Sie 4624-4634,-4630 ein.
Aktivieren Sie in der Dropdownliste Aufgabenkategorie die Kontrollkästchen neben den Aufgabenkategorien, die der Filter anzeigen soll.
Aktivieren Sie in der Dropdownliste Schlüsselwörter die Kontrollkästchen neben den Schlüsselwörtern, die der Filter anzeigen soll.
Geben Sie in Benutzer den Namen der Benutzerkonten ein, die der Filter anzeigen soll. Trennen Sie mehrere Benutzerkonten durch Kommas.
Geben Sie in Computer die Namen der Computer ein, die der Filter anzeigen soll. Dieses Feld bezieht sich auf die Quellcomputer für das Ereignis. Trennen Sie mehrere Computer durch Kommas.
Klicken Sie auf OK, um den Filter anzuwenden.
Weitere Überlegungen
-
Um einen zurzeit angewandten Filter zu entfernen, klicken Sie im Menü Aktion auf Filter löschen.
-
Wenn Sie ein Feld im Dialogfeld Aktuelles Protokoll filtern nicht ausfüllen, geben Sie damit an, dass der Filter Einträge mit einem beliebigen Wert für diese Eigenschaft anzeigt.
-
Sie können nicht nach Ereignisquellen, Aufgabenkategorien oder Schlüsselwörtern filtern, die noch nicht in dem betreffenden Protokoll vorgekommen sind.
-
Filter werden jeweils auf ein einziges Ereignisprotokoll angewendet. Wenn Sie mehrere Ereignisprotokolle gleichzeitig filtern möchten, müssen Sie eine benutzerdefinierte Ansicht erstellen.