V systémech Windows Server 2003 / Windows XP bylo snadné filtrovat události podle systémového účtu v protokolu systémových událostí zadáním názvu požadovaného účtu do pole Filtr uživatelů v protokolu protokolu. Ve Windows Server 2008 / Windows 7 a novějších však tento jednoduchý způsob, jak najít události týkající se konkrétního uživatele, nefunguje, i když samotné pole User je v nastavení filtru (zjevně zůstává stejným způsobem).
V systému Windows Server 2008 chybí ve standardním zobrazení protokolu událostí pole User. Zkuste to přidat pomocí nabídky Zobrazit -> Přidat nebo odebrat sloupce.
Nyní se v zobrazení protokolu objevil sloupec Uživatel, ale v tomto sloupci není žádné uživatelské jméno iniciátoru události, místo toho se zobrazuje N / a. Informace o účtu jsou nyní obsaženy v popisu samotné události (v hodnotách atributů ID zabezpečení a Název účtu v tomto příkladu). Jak nyní lze filtrovat události v protokolu? Chcete-li filtrovat události podle názvu uživatelského účtu (a dalších atributů události), můžete v systému Windows Server 2008 (a výše) použít možnost ruční úpravy XML dotazy (XPath) na vzorek.
Poznámka:. Dříve bylo použití XPath k vyhledání událostí, které jsou v deníku zajímavé, zvažováno v článku Jak spustit úlohu plánovače po dokončení jiné úlohy..Otevřete tedy požadovaný časopis Zobrazení události (v našem příkladu jde o protokol Zabezpečení) a v místní nabídce vyberte Filtrovat aktuální protokol ... .
Přejděte na kartu XML a zaškrtněte políčko Upravit dotaz ručně.
Zkopírujte následující kód a vyberte všechny události z protokolu pro konkrétního uživatele (nahradit uživatelské jméno na požadovaný účet).
* [EventData [Data [@ Name = 'subjectUsername'] = 'username']]
Uložíme změny do filtru a podíváme se na protokol. Měly by to zůstat události související s tímto účtem.
Pokud například potřebujete dodatečně filtrovat události podle uživatele a ID události 4624 (úspěšné přihlášení - účet byl úspěšně přihlášen) a 4625 (neúspěšné přihlášení - účet se nepodařilo přihlásit.), Může filtr XPath vypadat takto:
* [Systém [(EventID = 4624 nebo EventID = 4625)]]
* [EventData [Data [@ Name = 'subjectUsername'] = 'username']]