eventlog[System,,,,^1$]
Filtert auf (Achtung in Deutsch!) den Protokollnamen System und auf die exakte Event-ID 1. Ohne ^ (für Anfang) und $ (für Ende) würde er auch 3016 matchen.
Über den Autor