Unglücklicherweise ermöglicht die Ereignisanzeige das Filtern nicht auf der Basis von Werten innerhalb der Ereignisbeschreibung (wie zum Beispiel der Anmelde-ID oder anderer Codes), da diese Beschreibung eine Vielzahl an Informationen enthält, die wichtig für die Identifikation von Ereignissen sind. Trotzdem bietet die Ereignisanzeige eine Möglichkeit, um gefilterte Ereignisse nach Werten in der Beschreibung zu durchsuchen.

Nach Einstellen des Filters wird noch einmal das Sicherheitsprotokoll erst normal und dann mit der rechten Maustaste angeklickt und Ansicht – Suchen ausgewählt. Die Ereignisse einschließlich der Beschreibung lassen sich auf mehreren Feldern basierend suchen. Mit der Schaltfläche „Weitersuchen“ kann dann von einem Ereignis zum nächsten gesprungen werden, und zwar vorwärts und rückwärts. Eine andere schnelle Möglichkeit zum Scannen eines Protokolls bietet die Speicherung in eine Textdatei unter dem Format .txt (Tabs getrennt), die dann mit Microsoft Excel geöffnet wird. Mit beiden Methoden lässt sich trotzdem immer nur jeweils ein Ereignis auffinden, nicht gleich alle zur Ereignis-ID gehörenden, was bei der Überwachung mehrerer Systeme nicht besonders hilfreich ist.