ใน Windows Server 2003 หรือ Windows XP คุณสามารถกรองเหตุการณ์ในระบบ Event Log Viewer ได้อย่างง่ายดายด้วยบัญชีผู้ใช้เฉพาะ หากคุณป้อนชื่อผู้ใช้ที่ต้องการในช่องผู้ใช้ของตัวกรองบันทึก แต่ใน Windows Server 2008 / Windows 7 วิธีง่ายๆ ในการค้นหาเหตุการณ์ที่เกี่ยวข้องกับผู้ใช้เฉพาะรายนี้ใช้ไม่ได้ผล
ใน Windows Server 2008 ไม่มีฟิลด์ผู้ใช้ในการนำเสนอมาตรฐานของบันทึกเหตุการณ์ มาลองเพิ่มโดยใช้ ดู -> เพิ่ม/ลบคอลัมน์ ตัวเลือกเมนู
ขณะนี้ คอลัมน์ผู้ใช้ได้ปรากฏขึ้นในการนำเสนอบันทึกแล้ว แต่ชื่อของผู้ใช้ที่เริ่มต้นกิจกรรมจะไม่แสดงในคอลัมน์นี้ เราจะเห็น N/A แทน ข้อมูลเกี่ยวกับบัญชีขณะนี้มีอยู่ในคำอธิบายของเหตุการณ์เอง (ในค่าของรหัสความปลอดภัยและชื่อบัญชีในตัวอย่างนี้) วิธีการกรองเหตุการณ์ในบันทึกตอนนี้?
ในการกรองเหตุการณ์ตามชื่อผู้ใช้ (หรือแอตทริบิวต์เหตุการณ์อื่นๆ) ใน Windows Server 2008 หรือสูงกว่า คุณสามารถใช้การแก้ไข XML ด้วยตนเอง ข้อความค้นหา (XPath ).
หมายเหตุ . ก่อนหน้านี้การใช้ XPath เพื่อค้นหาเหตุการณ์เฉพาะในบันทึกได้รับการพิจารณาในบทความการเรียกใช้งานที่กำหนดเวลาไว้หลังจากอื่นดังนั้น เปิดบันทึกที่คุณต้องการใน มุมมองกิจกรรม (ในกรณีของเราคือ ความปลอดภัย บันทึก) และเลือก กรองบันทึกปัจจุบัน… ในเมนูบริบท
ไปที่ XML แท็บแล้วกาเครื่องหมาย แก้ไขการสืบค้นด้วยตนเอง .
คัดลอกและวางรหัสต่อไปนี้ที่อนุญาตให้เลือกเหตุการณ์ทั้งหมดของผู้ใช้ที่ระบุในบันทึก (แทนที่ ชื่อผู้ใช้ ด้วยชื่อบัญชีที่คุณต้องการ)
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> </Query> </QueryList>
บันทึกการเปลี่ยนแปลงในตัวกรองและดูบันทึก เฉพาะกิจกรรมที่เกี่ยวข้องกับบัญชีที่คุณระบุเท่านั้นที่ควรอยู่ในบันทึก
ตัวอย่างเช่น หากคุณต้องการกรองเหตุการณ์เพิ่มเติมสำหรับผู้ใช้และ ID เหตุการณ์ 4624 (บัญชีเข้าสู่ระบบสำเร็จ) และ 4625 (บัญชีไม่สามารถเข้าสู่ระบบได้) ตัวกรอง XPath จะมีลักษณะดังนี้:
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select> <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> </Query> </QueryList>
