Eventlog-Files aus System State Backup öffnen

[zahni 558]

Hi,

 

ich müsste mal in eine Securtiy.evtx aus  einem älteren System State Backup schauen (Windows 2012R2)

Ich habe also aus so einem System State Backup \Services\Eventlog in einen anderen Ordner zurückgesichert.

Leider lässt sich die Datei nicht im EventViewer öffnen:

 

 

Hat da jemand eine Idee?

[NilsK 2.968]

Moin,

 

der Beschreibung nach sollte Get-WinEvent in der PowerShell auch mit den Dateien klarkommen. Vielleicht geht's damit.

 

Gruß, Nils

 

[XP-Fan 220]

Hi,

 

vielleicht kann dir Kollege Nirsoft weiterhelfen, du kannst dort auch externe Daten einlesen was ja bei dir der Fall wäre.

File -> Choose Datasource ->Load events from external folder

https://www.nirsoft.net/utils/full_event_log_view.html

[zahni 558]

Problem ist: Scheinbar wird das Security.evtx lange im RAM gehalten. Und beim System State Backup  erfolgt kein "flush to disk". Mir ist das deutlich ältere Dateidatum aufgefallen (vom letzen Boot des Servers).

Ich habe die Datei mal von Live-Server  runter kopiert und bekam den gleichen Fehler. Als ich dann mal den Eventlog-Service  beendet habe, war die Datei plötzlich lesbar.

Get-WinEvent hat auch nichts gelesen:  NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand

Andere evtx-Dateien aus  dem System State sind übrigens lesbar.

Nun frage ich mich, warum ein System Backup keine konsistenten evtx Dateien erzeugt. Bei einem echten System State-Restore dürfte die Datei auch kaputt sein.

 

Edit: Das Nirsoft-Tool lädt leider auch nichts.

bearbeitet 11. April 2018 von zahni