Az események szűrése a Windows naplóiban felhasználónév alapján (Windows Server 2008)

A Windows Server 2003 / Windows XP rendszerben az eseményeket a felhasználói fiók alapján a rendszer eseménynaplójában könnyű kiszűrni, a naplószűrő Felhasználói szűrő mezőjében megadva a szükséges fiók nevét. A Windows Server 2008 / Windows 7 és újabb verziókban azonban egy bizonyos felhasználóval kapcsolatos események megtalálásának egyszerű módja nem működik, bár maga a Felhasználó mező a szűrőbeállításokban található (látszólag a régi módon marad).

A Windows Server 2008 rendszerben a Felhasználó mező hiányzik a normál eseménynapló nézetben. Próbáljuk hozzáadni a menü segítségével kilátás -> Oszlopok hozzáadása / eltávolítása.

Most a Felhasználói oszlop megjelent a napló nézetben, de ebben az oszlopban nincs az esemény kezdeményezőjének felhasználóneve; ehelyett N / a. A fiókadatokat most magának az eseménynek a leírása tartalmazza (ebben a példában a biztonsági azonosító és a fióknév attribútumok értékeiben). Hogyan szűrheti most az eseményeket a naplóban?? Az események felhasználói fióknév (és bármilyen más eseményttribútum) alapján történő szűrésére a Windows Server 2008 (és újabb) verziókban a kézi módosítás lehetőséget is használhatja. XML lekérdezések (XPath) a mintavételhez.

megjegyzés. Korábban az XPath használatával érdekes eseményeket találhat egy folyóiratban, amely az Útmutató ütemezési feladat indítása után egy másik feladat elvégzéséhez című cikkben található..

Tehát nyissa meg a kívánt magazinot Esemény nézet (a példánkban ez egy napló biztonság) és a helyi menüben válassza a lehetőséget Aktuális napló szűrése ... .

Ugrás a fülre XML és jelölje be a négyzetet A lekérdezés manuális szerkesztése.

Másolja a következő kódot az összes esemény kiválasztásához egy adott felhasználó naplójából (cserélje ki felhasználónév a kívánt fiókhoz).

* [EventData [Data [@ Name = 'subjekt felhasználónév'] = 'felhasználónév']]

Mentjük a szűrőben végrehajtott változtatásokat, és megnézzük a naplót. Ennek a fiókhoz kapcsolódó eseményeknek kell maradniuk.

Például, ha további eseményeket kell szűrnie felhasználó és 4624 esemény azonosító (sikeres bejelentkezés - egy fiók sikeresen bejelentkezett) és 4625 (bejelentkezés sikertelen - egy fiók bejelentkezése nem sikerült) alapján, az XPath szűrő így néz ki: