V sistemu Windows Server 2003 / Windows XP je bilo enostavno filtrirati dogodke po uporabniškem računu v dnevniku sistemskih dogodkov, tako da v polju Uporabniški filter filtra dnevnika navedete ime potrebnega računa. Toda v operacijskem sistemu Windows Server 2008 / Windows 7 in novejših različicah ta preprost način iskanja dogodkov, povezanih z določenim uporabnikom, ne deluje, čeprav je samo uporabniško polje v nastavitvah filtra (očitno ostaja na stari način).
V sistemu Windows Server 2008 v standardnem pogledu dnevnika dogodkov manjka polje Uporabnik. Poskusimo ga dodati s pomočjo menija Pogled -> Dodaj / odstrani stolpce.
Zdaj se je v prikazu dnevnika pojavil stolpec Uporabnik, v tem stolpcu pa ni uporabniškega imena pobudnika dogodka, temveč se prikaže N / a. Podatki o računu so zdaj vsebovani v opisu samega dogodka (v vrednostih atributov Security ID in imena računa v tem primeru). Kako lahko zdaj filtrirate dogodke v dnevniku? Če želite filtrirati dogodke po imenu uporabniškega računa (in vseh drugih atributih dogodkov), lahko v sistemu Windows Server 2008 (in novejših) uporabite možnost ročne spremembe XML poizvedbe (XPath) za vzorčenje.
Opomba. Prej je uporaba XPath za iskanje dogodkov, ki vas zanimajo v reviji, obravnavana v članku Kako začeti opravilo načrtovalca po dokončanju druge naloge..Torej, odprite želeno revijo v Pogled dogodka (v našem primeru je to dnevnik Varnost) in v kontekstnem meniju izberite Filtriranje trenutnega dnevnika ... .
Pojdite na zavihek XML in potrdite polje Ročno uredite poizvedbo.
Kopirajte naslednjo kodo, da izberete vse dogodke iz dnevnika za določenega uporabnika (nadomestite uporabniško ime na želeni račun).
* [EventData [Podatki [@ Ime = 'predmetUsername'] = 'uporabniško ime']]
Spremembe shranimo v filter in pogledamo v dnevnik. Naj ostanejo dogodki, povezani s tem računom.
Če morate na primer dodatno filtrirati dogodke glede na uporabnika in ID dogodka 4624 (uspešna prijava - račun je bil uspešno prijavljen) in 4625 (neuspešna prijava - račun se ni uspel prijaviti.), Lahko filter XPath izgleda tako:
* [Sistem [(EventID = 4624 ali EventID = 4625)]]
* [EventData [Podatki [@ Ime = 'predmetUsername'] = 'uporabniško ime']]