zahni 566 Geschrieben 11. April 2018 Melden Geschrieben 11. April 2018 Hi, ich müsste mal in eine Securtiy.evtx aus einem älteren System State Backup schauen (Windows 2012R2) Ich habe also aus so einem System State Backup \Services\Eventlog in einen anderen Ordner zurückgesichert. Leider lässt sich die Datei nicht im EventViewer öffnen: Hat da jemand eine Idee? Zitieren
NilsK 2.978 Geschrieben 11. April 2018 Melden Geschrieben 11. April 2018 Moin, der Beschreibung nach sollte Get-WinEvent in der PowerShell auch mit den Dateien klarkommen. Vielleicht geht's damit. Gruß, Nils Zitieren
XP-Fan 224 Geschrieben 11. April 2018 Melden Geschrieben 11. April 2018 Hi, vielleicht kann dir Kollege Nirsoft weiterhelfen, du kannst dort auch externe Daten einlesen was ja bei dir der Fall wäre. File -> Choose Datasource ->Load events from external folder https://www.nirsoft.net/utils/full_event_log_view.html Zitieren
zahni 566 Geschrieben 11. April 2018 Autor Melden Geschrieben 11. April 2018 (bearbeitet) Problem ist: Scheinbar wird das Security.evtx lange im RAM gehalten. Und beim System State Backup erfolgt kein "flush to disk". Mir ist das deutlich ältere Dateidatum aufgefallen (vom letzen Boot des Servers). Ich habe die Datei mal von Live-Server runter kopiert und bekam den gleichen Fehler. Als ich dann mal den Eventlog-Service beendet habe, war die Datei plötzlich lesbar. Get-WinEvent hat auch nichts gelesen: NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand Andere evtx-Dateien aus dem System State sind übrigens lesbar. Nun frage ich mich, warum ein System Backup keine konsistenten evtx Dateien erzeugt. Bei einem echten System State-Restore dürfte die Datei auch kaputt sein. Edit: Das Nirsoft-Tool lädt leider auch nichts. bearbeitet 11. April 2018 von zahni Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.