Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Журнал событий - фильтр по логину пользователя, записанному в событии

Ответить
Настройки темы
2012 R2 - [решено] Журнал событий - фильтр по логину пользователя, записанному в событии

Ветеран


Сообщения: 1684
Благодарности: 113


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: __sa__nya
Дата: 03-02-2019
Доброе время суток. В журнале "Журналы приложений и служб"\TerminalServices-LocalSessionManager" пишется полезная информация кто и когда подключался и отключался от сервера через службу уд. рабочих столов. Мне нужно как-то фильтровать события, чтобы смотреть историю подключений по определенным логинам пользователей - т.е. это та информация, которая в подробностях события написана в "Пользователь" - логин пользователям. См скриншот ниже. Вопрос: можно ли как-то это сделать ? В стандартных настройках фильтра ничего такого нет, там есть графа "Пользователь", но это тот пользователь который создает событие в журнале, т.е. в моем случае "СИСТЕМА", и за него не "зацепишься" . Скорее всего можно фильтр написать вручную, попробовал по рекомендации из этой статьи, но ничего не отображается в журнале. Как можно написать ручной фильтр чтобы фильтровать события по пользователям ?

-------
Чем больше узнаешь - тем больше понимаешь что ничего не знаешь.


Отправлено: 15:50, 03-02-2019

 

Ветеран


Contributor


Сообщения: 24027
Благодарности: 6976

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
Как можно написать ручной фильтр чтобы фильтровать события по пользователям ? »
Попробуйте так:
Код: Выделить весь код
<QueryList>
  <Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
    <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[UserData[EventXML[(User='2\termuser22')]]]</Select>
  </Query>
</QueryList>
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:27, 03-02-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 1684
Благодарности: 113

Профиль | Отправить PM | Цитировать


Iska, работает ! Спасибо ! Это мне реально поможет в работе при "разборе полетов" . Вчера потратил час времени и не смог настроить, на нашел - помогли.

-------
Чем больше узнаешь - тем больше понимаешь что ничего не знаешь.


Отправлено: 13:54, 04-02-2019 | #3



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Журнал событий - фильтр по логину пользователя, записанному в событии

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Журнал событий GLaDOS Microsoft Windows 7 18 28-04-2013 14:40
Разное - [решено] Журнал событий Москвич Microsoft Windows 7 2 29-10-2012 14:19
Службы - Фильтр логирования в журнале событий eryoma Microsoft Windows 2000/XP 2 02-02-2010 15:37
Ошибка - [решено] Код ошибки показанный в BSOD не соответствует коду, записанному в журнале событий. Oleg_SK Microsoft Windows 2000/XP 6 01-10-2007 17:28
Журнал событий Vygov Microsoft Windows 95/98/Me 1 23-07-2007 01:54




 
Переход