Фільтрація подій в журналах Windows на ім'я користувача (Windows Server 2008)

У Windows Server 2003 / Windows XP в журналі подій системи можна було з легкістю відфільтрувати події по облікового запису конкретного користувача, вказавши в фільтрі в поле User фільтра журналу ім'я потрібного облікового запису. Але в Windows Server 2008 / Windows 7 і вище цей простий спосіб знайти події, пов'язані з конкретним користувачем, не працює, хоча в налаштуваннях фільтра саме поле User є (мабуть залишилося по-старому).

У Windows Server 2008 в стандартному вигляді журналу подій відсутній поле User. Спробуємо додати його за допомогою меню View -> Add / Remove Columns.

Тепер в поданні журналу з'явився стовпець User, але імені користувача, ініціатора події в цьому стовпці немає, натомість відображається N / A. Иформация про обліковий запис тепер міститься всередині опису самої події (в значеннях атрибутів Security ID і Account Name в даному прикладі). Як же тепер можна відфільтрувати події в журналі? Для фільтрації подій на ім'я облікового запису користувача (і будь-яким іншим атрибутам подій), в Windows Server 2008 (і вище) можна скористатися можливість ручної модифікації XML запитів (XPath) На вибірку.

Примітка. Раніше використання XPath для знаходження цікавлять подій в журналі розглядати в статті Як запустити завдання планувальника після завершення іншого завдання.

Отже, відкрийте потрібний журнал в Event View (В нашому прикладі це журнал Security) І в контекстному меню виберіть пункт Filter Current Log ... .

Перейдіть на вкладку XML і відзначте чекбокс Edit query manually.

Скопіюйте наступний код, що дозволяє вибрати з журналу всі події по конкретному користувачеві (замініть username на потрібну учетку).

* [EventData [Data [@ Name = 'subjectUsername'] = 'username']]

Зберігаємо зміни в фільтрі і дивимося на журнал. У ньому повинні залишитися події, які стосуються цієї учетке.

Якщо, наприклад, потрібно додатково відфільтрувати події по користувачеві і Event ID 4624 (Вдалий вхід - An account was successfully logged on) і 4625 (невдалий вхід - An account failed to log on.), Фільтр XPath може виглядати так: