Windows Server 2003 또는 Windows XP에서는 로그 필터의 사용자 필드에 원하는 사용자 이름을 입력하면 특정 사용자 계정으로 시스템 이벤트 로그 뷰어의 이벤트를 쉽게 필터링할 수 있습니다. 그러나 Windows Server 2008/Windows 7에서는 특정 사용자와 관련된 이벤트를 찾는 이 간단한 방법이 작동하지 않습니다.
Windows Server 2008에서는 이벤트 로그의 표준 표시에 사용자 필드가 없습니다. 보기를 사용하여 추가해 보겠습니다. -> 열 추가/제거 메뉴 옵션.
이제 사용자 열이 로그 프레젠테이션에 표시되지만 이벤트를 시작한 사용자의 이름은 이 열에 표시되지 않습니다. 대신 N/A를 볼 수 있습니다. 계정에 대한 정보는 이제 이벤트 자체에 대한 설명(이 예에서는 보안 ID 및 계정 이름 값)에 포함됩니다. 지금 로그에서 이벤트를 필터링하는 방법은 무엇입니까?
Windows Server 2008 이상에서 사용자 이름(또는 기타 이벤트 속성)으로 이벤트를 필터링하려면 XML의 수동 수정을 사용할 수 있습니다. 쿼리(XPath ).
참고 . 이전에 XPath를 사용하여 로그에서 특정 이벤트를 찾는 것은 다른 순서로 예약된 작업 실행 문서에서 고려되었습니다.따라서 이벤트 보기에서 필요한 로그를 엽니다. (우리의 경우 보안 로그)를 선택하고 현재 로그 필터링...을 선택합니다. 컨텍스트 메뉴에서.
XML로 이동 탭을 누르고 수동으로 검색어 수정을 선택합니다. .
로그에서 특정 사용자의 모든 이벤트를 선택할 수 있는 다음 코드를 복사하여 붙여넣습니다(username 대체 필요한 계정 이름으로).
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> </Query> </QueryList>
필터의 변경 사항을 저장하고 로그를 확인합니다. 지정한 계정과 관련된 이벤트만 로그에 남아 있어야 합니다.
예를 들어 사용자 및 이벤트 ID 4624에 대한 이벤트를 추가로 필터링해야 하는 경우 (계정이 성공적으로 로그온되었습니다.) 및 4625(계정이 로그온하지 못했습니다.), XPath 필터는 다음과 같습니다.
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select> <Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select> </Query> </QueryList>