приведенный ниже фильтр XPath для журнала событий безопасности Windows предоставляет отфильтрованный список журнала событий для всех событий разблокировки Windows (замените myDomainName и myUserName на свои). Я хотел бы расширить его, чтобы показывать только первое событие разблокировки на каждый день. У вас есть решение для этого?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[
System[EventID=4801] and
EventData[Data[@Name='TargetDomainName'] and (Data='<myDomainName>')]and
EventData[Data[@Name='TargetUserName'] and (Data='<myUserName>')]]
</Select>
</Query>
</QueryList>
Заранее спасибо! С уважением, Янош