Windows Server 2003 या Windows XP में, यदि आप लॉग फ़िल्टर के उपयोगकर्ता फ़ील्ड में वांछित उपयोगकर्ता नाम दर्ज करते हैं, तो आप किसी विशिष्ट उपयोगकर्ता खाते द्वारा सिस्टम इवेंट लॉग व्यूअर में ईवेंट को आसानी से फ़िल्टर कर सकते हैं। लेकिन विंडोज सर्वर 2008 / विंडोज 7 में विशिष्ट उपयोगकर्ता से संबंधित घटनाओं को खोजने का यह सरल तरीका काम नहीं करता है।
विंडोज सर्वर 2008 में, इवेंट लॉग की मानक प्रस्तुति में कोई उपयोगकर्ता फ़ील्ड नहीं है। आइए देखें . का उपयोग करके इसे जोड़ने का प्रयास करें -> कॉलम जोड़ें/निकालें मेनू विकल्प।
अब लॉग प्रस्तुति में उपयोगकर्ता कॉलम दिखाई दिया है, लेकिन उस उपयोगकर्ता का नाम जिसने एक ईवेंट शुरू किया है, इस कॉलम में प्रदर्शित नहीं होता है। हम इसके बजाय N/A देख सकते हैं। खाते के बारे में जानकारी अब घटना के विवरण में ही निहित है (इस उदाहरण में सुरक्षा आईडी और खाता नाम के मूल्यों में)। लॉग में ईवेंट को अभी कैसे फ़िल्टर करें?
Windows Server 2008 या उच्चतर में उपयोगकर्ता नाम (या किसी अन्य ईवेंट विशेषता) द्वारा ईवेंट फ़िल्टर करने के लिए, आप XML के मैन्युअल संशोधन का उपयोग कर सकते हैं क्वेरीज़ (XPath ).
नोट . पहले लॉग में विशिष्ट घटनाओं को खोजने के लिए XPath का उपयोग लेख में एक के बाद एक शेड्यूल किए गए कार्य को चलाने पर विचार किया गया थाइसलिए, ईवेंट व्यू . में अपनी जरूरत का लॉग खोलें (हमारे मामले में, यह सुरक्षा . है लॉग) और वर्तमान लॉग को फ़िल्टर करें… . चुनें संदर्भ मेनू में।
XML पर जाएं टैब पर जाएं और क्वेरी को मैन्युअल रूप से संपादित करें को चेक करें ।
निम्नलिखित कोड को कॉपी और पेस्ट करें जो लॉग में विशिष्ट उपयोगकर्ता की सभी घटनाओं का चयन करने की अनुमति देता है (उपयोगकर्ता नाम बदलें) उस खाते के नाम के साथ जिसकी आपको आवश्यकता है)।
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> चुनें </Query> </QueryList>
फ़िल्टर में परिवर्तन सहेजें और लॉग देखें। केवल आपके द्वारा निर्दिष्ट खाते से संबंधित ईवेंट लॉग में रहने चाहिए।
यदि आपको, उदाहरण के लिए, उपयोगकर्ता के लिए ईवेंट और ईवेंट आईडी 4624 को अतिरिक्त रूप से फ़िल्टर करने की आवश्यकता है, तो (एक खाता सफलतापूर्वक लॉग ऑन किया गया था) और 4625 (एक खाता लॉग ऑन करने में विफल रहा।), XPath फ़िल्टर इस तरह दिखेगा:
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select> चुनें <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> चुनें </Query> </QueryList>