Mittwoch, 10. August 2016

Ereignisanzeige filtern nach Installationen / Deinstallationen

Möchte man im Nachhinein heraus finden was auf einem PC installiert bzw. deinstalliert wurde, so kann man dies über die Ereignisanzeige herausfinden.

Dies ist jedoch schwieriger als gedacht bei den endlosen Datensätzen die geloggt werden. Folgendermaßen kann man die Daten filtern:

1. Man gehe zunächst in die Eregnisanzeige und wählt dort unter "Windows-Protokolle" den Zweig "Anwendung" aus.

2. Anschließend geht man im rechten Bereich auf "Aktuelles Protokoll filtern".

 3. Für Installationen jetzt man den Filter wie folgt - die Quelle wird auch "MSIInstaller" gestellt, die Ereignis-ID auf "1022-1036, -1034"


4. Für Deinstallationen setzt man den Filter folgendermaßen - die Quelle wird auch "MSIInstaller" gestellt, die Ereignis-ID auf "1034"

Keine Kommentare: