Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

Windows Server2003またはWindowsXPでは、ログフィルタの[ユーザー]フィールドに目的のユーザー名を入力すると、特定のユーザーアカウントでシステムイベントログビューアのイベントを簡単にフィルタリングできます。ただし、Windows Server 2008 / Windows 7では、特定のユーザーに関連するイベントを見つけるこの簡単な方法は機能しません。

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

Windows Server 2008では、イベントログの標準表示に[ユーザー]フィールドはありません。 表示を使用して追加してみましょう ->列の追加/削除 メニューオプション。

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

これで、ログプレゼンテーションに[ユーザー]列が表示されますが、イベントを開始したユーザーの名前はこの列に表示されません。代わりにN/Aを見ることができます。アカウントに関する情報は、イベント自体の説明に含まれるようになりました(この例のセキュリティIDとアカウント名の値)。ログ内のイベントを今すぐフィルタリングするにはどうすればよいですか?

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

Windows Server 2008以降でユーザー名(またはその他のイベント属性)でイベントをフィルタリングするには、 XMLの手動変更を使用できます。 クエリ( XPath )。

。以前にXPathを使用してログ内の特定のイベントを検索することは、「スケジュールされたタスクを次々に実行する」の記事で検討されていました。

したがって、イベントビューで必要なログを開きます (私たちの場合、それはセキュリティです log)を選択し、現在のログをフィルタリング…を選択します コンテキストメニューで。

XMLに移動します タブをクリックし、クエリを手動で編集をオンにします 。

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

ログ内の特定のユーザーのすべてのイベントを選択できるようにする次のコードをコピーして貼り付けます(ユーザー名を置き換えます) 必要なアカウント名で)

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>

Windows2008以降でユーザー名でイベントログをフィルタリングする方法

フィルタに変更を保存し、ログを確認します。指定したアカウントに関連するイベントのみがログに残ります。

Windows2008以降でユーザー名でイベントログをフィルタリングする方法
たとえば、ユーザーとイベントID4624のイベントを追加でフィルタリングする必要がある場合(アカウントは正常にログオンしました)および4625(アカウントはログオンに失敗しました。)、XPathフィルターは次のようになります:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select>
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>


  1. Windows 8 および 7 でフィルター キーをオンまたはオフにする方法

    「キーボードがフィルター キーで動かなくなってしまいました。Windows 8 でフィルター キーをオフにするにはどうすればよいですか? ?私を助けてください!これは本当に面倒で、私の PC は事実上使用できなくなります。 フィルター キーは、短いキーストロークまたは繰り返しのキーストロークを避けるようにキーボードに指示できます。ただし、キーがかなりの時間押されていない限り、キーボード入力を無視するのは、潜在的に迷惑な Windows の機能です。また、SHIFT などのボタンを 8 秒間押したときにもトリガーされます。したがって、これは Windows 8 および Windows 7 でフ

  2. イベント ID 4 で失敗したファイル システム フィルタ WCIFS を修正する方法 (Windows 10)

    Windows 10 ベースのコンピューターでは、イベント ビューアーのシステム ログに次の警告が表示されました。ボリューム \Device\HarddiskVolumeShadowCopy3 へ。フィルタは非標準の最終ステータス 0xC000000D を返しました。このフィルタおよび/またはそのサポート アプリケーションは、この条件を処理する必要があります。この条件が続く場合は、ベンダーに連絡してください . 「File System Filter wcifs failed, Event ID 4」アラート メッセージは、おそらく Windows のバグが原因で発生し、2017 年