Доброе время суток. В журнале "Журналы приложений и служб"\TerminalServices-LocalSessionManager" пишется полезная информация кто и когда подключался и отключался от сервера через службу уд. рабочих столов. Мне нужно как-то фильтровать события, чтобы смотреть историю подключений по определенным логинам пользователей - т.е. это та информация, которая в подробностях события написана в "Пользователь" - логин пользователям. См скриншот ниже. Вопрос: можно ли как-то это сделать ? В стандартных настройках фильтра ничего такого нет, там есть графа "Пользователь", но это тот пользователь который создает событие в журнале, т.е. в моем случае "СИСТЕМА", и за него не "зацепишься" . Скорее всего можно фильтр написать вручную, попробовал по рекомендации из этой (http://winitpro.ru/index.php/2016/08/10/filtraciya-sobytij-v-zhurnalax-windows-po-imeni-polzovatelya/) статьи, но ничего не отображается в журнале. Как можно написать ручной фильтр чтобы фильтровать события по пользователям ?

https://c.radikal.ru/c23/1902/ac/fe426240d4b4.jpg (https://radikal.ru)

Как можно написать ручной фильтр чтобы фильтровать события по пользователям ? »
Попробуйте так:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[UserData[EventXML[(User='2\termuser22')]]]</Select>
</Query>
</QueryList>

Iska, работает ! Спасибо ! Это мне реально поможет в работе при "разборе полетов" . Вчера потратил час времени и не смог настроить, на нашел - помогли.