Situatie
Vrem sa verificam logurile de securitate pentru un user specific si sa aflam daca are incercari de autentificare esuate. Ca sa fie mai usor de identificat si sa nu trecem prin toate logurile pentru toate evenimentele putem face un filtru doar pentru acel user.
Solutie
Pasi de urmat
- Deschidem Event Viewer, apoi din Actions facem click pe Create custom view.
- Dupa care vom face click pe XML si bifam edit query manully. Odata ce am facut asta vom introduce urmatorul query, dupa care se da ok
- Se inlocuieste numele.utilizatorului cu userul in cauza
<QueryList>
<Query Id=”0″ Path=”Security”>
<Select Path=”Security”>*[EventData[Data[@Name=’TargetUserName’]=’numele.utilizatorului’] and System[TimeCreated[timediff(@SystemTime) <= 259200000]]]</Select>
</Query>
</QueryList>
La urmatoarea fereastra trecem numele filtrului, o descriere daca dorim si apoi locatia unde sa fie salvat. Vom lasa default, adica custom views.
Apoi vom primi toate evenimentele pentru acel user.
Leave A Comment?