{{tag>windows}}

=====Фильтр журнала событий Windows=====

на примере входов/выходов пользователей в терминал.
будем искать входы выходы определенного пользователя Иванов Иван.

Заходим в нужный журнал -> Фильтр текущего журнала -> Вкладка XML -> Изменить запрос в ручную -> Меняем запрос на свой

входы выходы можно смотреть в двух журналах:

===1. Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational===

  <QueryList>
    <Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
      <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
        *[System[(EventID=22 or EventID=23)]] and
        *[UserData[EventXML[(User='Domen\Иванов Иван')]]]
      </Select>
    </Query>
  </QueryList>



===2. Журналы Windows -> Безопасность===

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">
        *[System[(EventID=4624 or EventID=4625)]] and
        *[EventData[Data[@Name='LogonType'] and Data=10]] and
        *[EventData[Data[@Name='TargetUserName'] and Data='Иванов Иван']]
      </Select>
    </Query>
  </QueryList>

===Дополнительно===
==стандартные параметры фильтрации==

коды событий
<code>*[System[(EventID=4624 or EventID=4625)]]</code>
источник
<code>*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]]</code>
время события
<code>*[System[TimeCreated[@SystemTime&gt;='2016-11-14T10:00:00.000Z' and @SystemTime&lt;='2016-11-14T11:00:00.999Z']]]</code>
уровень события
<code>*[System[(Level=4 or Level=0)]]</code>

==другие параметры фильтрации==
все поля фильтрации можно найти открыв любое похожее на искомое событие на вкладке подробности в режиме XML