Windows2008以降でユーザー名でイベントログをフィルタリングする方法

Windows Server2003またはWindowsXPでは、ログフィルタの[ユーザー]フィールドに目的のユーザー名を入力すると、特定のユーザーアカウントでシステムイベントログビューアのイベントを簡単にフィルタリングできます。ただし、Windows Server 2008 / Windows 7では、特定のユーザーに関連するイベントを見つけるこの簡単な方法は機能しません。

Windows Server 2008では、イベントログの標準表示に[ユーザー]フィールドはありません。 表示を使用して追加してみましょう ->列の追加/削除 メニューオプション。

これで、ログプレゼンテーションに[ユーザー]列が表示されますが、イベントを開始したユーザーの名前はこの列に表示されません。代わりにN/Aを見ることができます。アカウントに関する情報は、イベント自体の説明に含まれるようになりました（この例のセキュリティIDとアカウント名の値）。ログ内のイベントを今すぐフィルタリングするにはどうすればよいですか？

Windows Server 2008以降でユーザー名（またはその他のイベント属性）でイベントをフィルタリングするには、 XMLの手動変更を使用できます。 クエリ（ XPath ）。

注 。以前にXPathを使用してログ内の特定のイベントを検索することは、「スケジュールされたタスクを次々に実行する」の記事で検討されていました。

したがって、イベントビューで必要なログを開きます （私たちの場合、それはセキュリティです log）を選択し、現在のログをフィルタリング…を選択します コンテキストメニューで。

XMLに移動します タブをクリックし、クエリを手動で編集をオンにします 。

ログ内の特定のユーザーのすべてのイベントを選択できるようにする次のコードをコピーして貼り付けます（ユーザー名を置き換えます） 必要なアカウント名で）

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>

フィルタに変更を保存し、ログを確認します。指定したアカウントに関連するイベントのみがログに残ります。

たとえば、ユーザーとイベントID4624のイベントを追加でフィルタリングする必要がある場合（アカウントは正常にログオンしました）および4625（アカウントはログオンに失敗しました。）、XPathフィルターは次のようになります：

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select>
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>