Как отфильтровать события в журнале безопасности Windows Server 2019, касающиеся одной учетной записи?

Question

[anton13ms]

В Windows Server 2019, в журналах безопасности, в субъектах есть "Имя учетной записи:".
Можно ли выполнить фильтрацию, только по конкретной учетной записи?
То есть, что бы увидеть только события входа одной конкретной учетной записи?

Answer 1

[Роман Безруков]

Можно - с помощью XML-фильтра

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select>
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>

Comments

[anton13ms]

А как еще и по временному диапазону ограничить?
Просто припевав:
*[System[TimeCreated[@SystemTime>='2022-11-23T17:00:00.000Z' and @SystemTime<='2022-11-23T17:35:00.999Z']]]

Результата не дает(

[Роман Безруков]

anton13ms, вот так попробуйте:

*[System[TimeCreated[@SystemTime >= '2022-11-23T17:00:00.000Z' and @SystemTime <= '2022-11-23T17:35:00.999Z']]]

[anton13ms]

Пишет "не верный запрос.
Где здесь может быть ошибка?

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='ИмяПользователя']]
	and 
	TimeCreated[@SystemTime&gt;='2022-11-23T17:00:00.000Z' and @SystemTime&lt;='2022-11-23T17:35:00.999Z']]]</Select>
  </Query>
</QueryList>

[Роман Безруков]

anton13ms, с квадратными скобками где-то просчитались...

<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='ИмяПользователя'] and TimeCreated[@SystemTime&gt;='2022-11-23T17:00:00.000Z' and @SystemTime&lt;='2022-11-23T17:35:00.999Z']]</Select>