none
服务器日志“事件ID”+“用户”组合时查询时,筛选不出结果 RRS feed

  • 问题

  • 我的文件服务器设置了删除文件时有日志进行记录,服务器日志“事件ID”+“用户”组合时查询时,筛选不出结果

    比如下面的4663+cs02组合查询就没有任何结果。但日志记录里面的确是cs02这个用户删除了文件的。

    2018年4月20日 7:16

答案

  • 你好,

    你可以使用XML自定义筛选器来筛选。

    切换到xml选项卡。

    <QueryList> 
               <Query Id="0"> 
                  <Select Path="Security"> 
                     *[EventData[Data[@Name=’SubjectUserName’] and (Data=’test5′ or Data=’test9′)]] 
                     and 
                     *[System[(EventID=’4663′)]] 
                   </Select> 
               </Query> 
          </QueryList>

    Path是日志的分类和路径,subjectusername就是指用户名, data=后面填写你要筛选的对象(用户)。

    更多细节,请参考下面的文章:

    https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/  


    Best Regards,
    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2018年4月23日 5:28
    版主

全部回复

  • 你好,

    请注意标出来的两个红框。下面那个红框的内容才是对应筛选器的“用户”。在中文操作系统中,这个地方有可能是暂缺。你搜索的用户是上面那个红框中的用户账号名。

    Best Regards,
    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月20日 9:59
    版主
  • 要是用户是暂缺或n/a话,这样搜索就没有意义了,只能是按日志ID来进行搜索了,那么还有其它什么方法吗?或比较好的日志工具推荐?
    2018年4月21日 6:02
  • 你好,

    你可以使用XML自定义筛选器来筛选。

    切换到xml选项卡。

    <QueryList> 
               <Query Id="0"> 
                  <Select Path="Security"> 
                     *[EventData[Data[@Name=’SubjectUserName’] and (Data=’test5′ or Data=’test9′)]] 
                     and 
                     *[System[(EventID=’4663′)]] 
                   </Select> 
               </Query> 
          </QueryList>

    Path是日志的分类和路径,subjectusername就是指用户名, data=后面填写你要筛选的对象(用户)。

    更多细节,请参考下面的文章:

    https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/  


    Best Regards,
    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2018年4月23日 5:28
    版主
  • 非常专业,非常感谢!
    2018年4月24日 2:16
  • 还有有一个问题想请教:

    现在我可以通过上述语句能查出某一些用户所删除的记录了。如果我不知道是哪一个用户删除的,我只知道删除文件的大概路径名移,我想利用ObjectName这一个属性来查询,就是类似于sql中的like语句来模糊查询,该怎么写了?谢谢 !

    2018年4月24日 3:20
  • 你好,

    你说的功能可能需要用到Powershell脚本才能实现,这已经偏离了最初的主题。

    我建议你在此论坛重新发主题帖,我们会尽快为你解答。

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月24日 7:28
    版主