@anton13ms

Как отфильтровать события в журнале безопасности Windows Server 2019, касающиеся одной учетной записи?

В Windows Server 2019, в журналах безопасности, в субъектах есть "Имя учетной записи:".
Можно ли выполнить фильтрацию, только по конкретной учетной записи?
То есть, что бы увидеть только события входа одной конкретной учетной записи?
  • Вопрос задан
  • 45 просмотров
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
Можно - с помощью XML-фильтра
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select>
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы