Инструменты пользователя
Боковая панель
filtr_zhurnala_sobytij_windows
Это старая версия документа!
Фильтр журнала событий Windows
на примере входов/выходов пользователей в терминал. будем искать входы выходы определенного пользователя Иванов Иван.
Заходим в нужный журнал → Фильтр текущего журнала → Вкладка XML → Изменить запрос в ручную → Меняем запрос на свой
входы выходы можно смотреть в двух журналах:
1. Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
*[System[(EventID=22 or EventID=23)]] and
*[UserData[EventXML[(User='Domen\Иванов Иван')]]]
</Select>
</Query>
</QueryList>
2. Журналы Windows -> Безопасность
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624 or EventID=4625)]] and
*[EventData[Data[@Name='LogonType'] and Data=10]] and
*[EventData[Data[@Name='TargetUserName'] and Data='Иванов Иван']]
</Select>
</Query>
</QueryList>
- [System[(EventID=4624 or EventID=4625)]] - коды событий
- [System[Provider[@Name='Microsoft-Windows-Security-Auditing']]] - источник
- [System[TimeCreated[@SystemTime>='2016-11-14T10:00:00.000Z' and @SystemTime<='2016-11-14T11:00:00.999Z']]] - время события
- [System[(Level=4 or Level=0)]] - уровень события
filtr_zhurnala_sobytij_windows.1479124299.txt.gz · Последнее изменение: — Валерий
Инструменты страницы
