Журнал событий - фильтр по логину пользователя, записанному в событии
Доброе время суток. В журнале "Журналы приложений и служб"\TerminalServices-LocalSessionManager" пишется полезная информация кто и когда подключался и отключался от сервера через службу уд. рабочих столов. Мне нужно как-то фильтровать события, чтобы смотреть историю подключений по определенным логинам пользователей - т.е. это та информация, которая в подробностях события написана в "Пользователь" - логин пользователям. См скриншот ниже. Вопрос: можно ли как-то это сделать ? В стандартных настройках фильтра ничего такого нет, там есть графа "Пользователь", но это тот пользователь который создает событие в журнале, т.е. в моем случае "СИСТЕМА", и за него не "зацепишься" . Скорее всего можно фильтр написать вручную, попробовал по рекомендации из этой статьи, но ничего не отображается в журнале. Как можно написать ручной фильтр чтобы фильтровать события по пользователям ?

|
Цитата:
Цитата __sa__nya
Как можно написать ручной фильтр чтобы фильтровать события по пользователям ? »
|
Попробуйте так:
Код:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[UserData[EventXML[(User='2\termuser22')]]]</Select>
</Query>
</QueryList>
|
Iska, работает ! Спасибо ! Это мне реально поможет в работе при "разборе полетов" . Вчера потратил час времени и не смог настроить, на нашел - помогли.
|
Время: 08:24.
© OSzone.net 2001-