Инструменты пользователя
Боковая панель
filtr_zhurnala_sobytij_windows
Это старая версия документа!
Фильтр журнала событий Windows
на примере входов/выходов пользователей в терминал. будем искать входы выходы определенного пользователя Иванов Иван.
Заходим в нужный журнал → Фильтр текущего журнала → Вкладка XML → Изменить запрос в ручную → Меняем запрос на свой
входы выходы можно смотреть в двух журналах:
1. Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
*[System[(EventID=22 or EventID=23)]] and
*[UserData[EventXML[(User='Domen\Иванов Иван')]]]
</Select>
</Query>
</QueryList>
2. Журналы Windows -> Безопасность
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624 or EventID=4625)]] and
*[EventData[Data[@Name='LogonType'] and Data=10]] and
*[EventData[Data[@Name='TargetUserName'] and Data='Иванов Иван']]
</Select>
</Query>
</QueryList>
в запрос можно включить дополнительные параметры фильтрации коды событий
*[System[(EventID=4624 or EventID=4625)]]
источник
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]]
время события
*[System[TimeCreated[@SystemTime>='2016-11-14T10:00:00.000Z' and @SystemTime<='2016-11-14T11:00:00.999Z']]]
уровень события
*[System[(Level=4 or Level=0)]]
filtr_zhurnala_sobytij_windows.1479124768.txt.gz · Последнее изменение: — Валерий
Инструменты страницы
