Filtruj zdarzenia w dziennikach systemu Windows według nazwy użytkownika (Windows Server 2008)

W systemie Windows Server 2003 / Windows XP filtrowanie zdarzeń według konta użytkownika w dzienniku zdarzeń systemowych było łatwe, podając nazwę wymaganego konta w polu Filtr użytkownika filtru dziennika. Ale w systemie Windows Server 2008 / Windows 7 i nowszych ten prosty sposób znajdowania zdarzeń związanych z określonym użytkownikiem nie działa, chociaż samo pole Użytkownik znajduje się w ustawieniach filtra (najwyraźniej pozostaje w starym stylu).

W systemie Windows Server 2008 brak pola użytkownika w standardowym widoku dziennika zdarzeń. Spróbujmy dodać go za pomocą menu Zobacz -> Dodaj / Usuń kolumny.

Teraz kolumna Użytkownik pojawiła się w widoku dziennika, ale w tej kolumnie nie ma nazwy użytkownika inicjatora zdarzenia; zamiast tego wyświetla się Nie dotyczy. Informacje o koncie są teraz zawarte w opisie samego zdarzenia (w wartościach atrybutu Security ID i nazwy konta w tym przykładzie). Jak teraz można filtrować zdarzenia w dzienniku? Aby filtrować zdarzenia według nazwy konta użytkownika (i innych atrybutów zdarzeń), w systemie Windows Server 2008 (i nowszych) można użyć opcji ręcznej modyfikacji XML zapytania (XPath) do próbki.

Uwaga. Wcześniej używanie XPath do znajdowania interesujących zdarzeń w czasopiśmie było rozważane w artykule Jak rozpocząć zadanie harmonogramu po zakończeniu innego zadania..

Więc otwórz żądany magazyn w Widok zdarzenia (w naszym przykładzie jest to dziennik Bezpieczeństwo) iw menu kontekstowym wybierz Filtruj bieżący dziennik ... .

Idź do zakładki XML i zaznacz pole Edytuj zapytanie ręcznie.

Skopiuj następujący kod, aby wybrać wszystkie zdarzenia z dziennika dla określonego użytkownika (zamień nazwa użytkownika do żądanego konta).

* [EventData [Data [@ Name = 'subjectUsername'] = 'nazwa użytkownika']]

Zapisujemy zmiany w filtrze i przeglądamy dziennik. Powinny pozostać zdarzenia związane z tym kontem.

Jeśli na przykład musisz dodatkowo odfiltrować zdarzenia według użytkownika i identyfikatora zdarzenia 4624 (udane logowanie - Konto zostało pomyślnie zalogowane) i 4625 (nieudane logowanie - Konto nie zalogowało się), filtr XPath może wyglądać następująco: