Нужно было найти все события с определенным значением, а именно те, где поле «Logon ID» содержит определенное значение. Для этого в оснастке Server Manager открыл Event Viewer и воспользовался XML-фильтром. Вот как это выглядит.
Например в журнале Security вы хотите найти событие, которое содержит определенное значение в определенном поле. В моем случае это поле называлось Logon ID.
Для этого открываем похожее событие, переключаемся на вкладку Details и включаем XML View. Затем находим раздел «EventData» и смотрим как называется интересующее нас поле. На основе этого мы будем строить наш XML-запрос.
Теперь запускаем фильтр. Для этого нажимаем правой кнопкой мыши по интересующему нас журналу, в моем случае это журнал безопасности (Security) и выбираем пункт меню «Filter Current Log…».
В открывшемся окне переключаемся на вкладку «XML». Здесь мы видим пример стандартного запроса на поиск всех событий без исключения. Наша задача задать фильтр для поиска. Для этого нам нужно разместить его между тегами <Select Path=”Application”> и </Select>. Именно на то место где по умолчанию стоит звездочка. Чтобы это сделать нужно поставить галочку в поле «Edit query manually».
В появившемся диалоговом окне нажмите “Yes”.
Поле XML-запроса станет доступным для редактирования. Вводим туда соответствующий запрос и нажимаем “OK”.
В моем случае запрос состоит из следующей строчки
*[EventData[Data[@Name="SubjectLogonId"] and (Data="0x3e7")]]
Тот же результат можно получить при помощи PowerShell. Для этого нужно запустить консоль PowerShell в режиме администратора и ввести команду
Get-WinEvent -LogName Security -FilterXPath "*[EventData[Data[@Name='SubjectLogonId'] and (Data='0x3e7')]]"
Например в журнале Security вы хотите найти событие, которое содержит определенное значение в определенном поле. В моем случае это поле называлось Logon ID.
Для этого открываем похожее событие, переключаемся на вкладку Details и включаем XML View. Затем находим раздел «EventData» и смотрим как называется интересующее нас поле. На основе этого мы будем строить наш XML-запрос.
Теперь запускаем фильтр. Для этого нажимаем правой кнопкой мыши по интересующему нас журналу, в моем случае это журнал безопасности (Security) и выбираем пункт меню «Filter Current Log…».
В открывшемся окне переключаемся на вкладку «XML». Здесь мы видим пример стандартного запроса на поиск всех событий без исключения. Наша задача задать фильтр для поиска. Для этого нам нужно разместить его между тегами <Select Path=”Application”> и </Select>. Именно на то место где по умолчанию стоит звездочка. Чтобы это сделать нужно поставить галочку в поле «Edit query manually».
В появившемся диалоговом окне нажмите “Yes”.
Поле XML-запроса станет доступным для редактирования. Вводим туда соответствующий запрос и нажимаем “OK”.
В моем случае запрос состоит из следующей строчки
*[EventData[Data[@Name="SubjectLogonId"] and (Data="0x3e7")]]
Тот же результат можно получить при помощи PowerShell. Для этого нужно запустить консоль PowerShell в режиме администратора и ввести команду
Get-WinEvent -LogName Security -FilterXPath "*[EventData[Data[@Name='SubjectLogonId'] and (Data='0x3e7')]]"
Подскажите как отфильтровать по 2 полям из EventData: например по SubjectUserName и ObjectName
ОтветитьУдалитьGet-WinEvent -LogName Security -FilterXPath "*[
ОтветитьУдалить(EventData[Data[@Name='SubjectLogonId'] and (Data='0x3e7')])
and
(EventData[Data[@Name='SubjectUserName'] and (Data='UserName')])
]"