Филтрирайте събития в логове на Windows по потребителско име

В Windows Server 2003 / Windows XP беше лесно да се филтрират събития от потребителския акаунт в дневника на системните събития, като се посочи името на необходимия акаунт в полето за потребителски филтър на журналния филтър. Но в Windows Server 2008 / Windows 7 и по-нови версии този прост начин за намиране на събития, свързани с конкретен потребител, не работи, въпреки че самото поле на потребителя е в настройките на филтъра (очевидно остава по стария начин).

В Windows Server 2008 полето Потребител липсва в стандартния изглед на журнала на събитията. Нека се опитаме да го добавим с помощта на менюто изглед -> Добавяне / премахване на колони.

Сега колоната Потребител се появи в изгледа на журнала, но няма потребителско име на инициатора на събитието в тази колона, вместо това се показва N / a. Информацията за акаунта вече се съдържа в описанието на самото събитие (в стойностите на атрибутите на ID за защита и име на акаунта в този пример). Как сега можете да филтрирате събитията в дневника? За да филтрирате събитията по име на потребителски акаунт (и всички други атрибути на събитието), в Windows Server 2008 (и по-нови версии) можете да използвате опцията за ръчна промяна XML запитвания (XPath) за проба.

забележка. Преди това използването на XPath за намиране на събития от интерес в дневника е разгледано в статията Как да стартирате задача за планиране, след като завършите друга задача.

Така че, отворете желаното списание в Изглед на събитието (в нашия пример това е лог сигурност) и в контекстното меню изберете Филтриране на текущия дневник ... .

Отидете в раздела XML и поставете отметка в квадратчето Редактирайте заявката ръчно.

Копирайте следния код, за да изберете всички събития от дневник за конкретен потребител (заменете потребителско име до желания акаунт).



* [EventData [Данни [@ Name = 'subjectUsername'] = 'потребителско име']]

Запазваме промените във филтъра и поглеждаме в дневника. Трябва да останат събития, свързани с този акаунт.


Ако, например, трябва допълнително да филтрирате събития по потребител и идентификатор на събитие 4624 (успешно влизане - акаунтът е влязъл успешно) и 4625 (неуспешно влизане - акаунтът не успя да влезе.), Филтърът XPath може да изглежда така:



* [Система [(EventID = 4624 или EventID = 4625)]]
* [EventData [Данни [@ Name = 'subjectUsername'] = 'потребителско име']]