9

У меня есть определенная "категория задач" событий журнала Windows, которую я хотел бы видеть самостоятельно, но опция фильтрации по категориям в диалоговом окне "Фильтровать текущий журнал" отключена / неактивна. Как я могу использовать это?

2 ответа2

8

"Категория задачи" доступна для фильтрации журнала только после того, как вы уже выбрали что-то для "Источников событий" выше, чем в диалоговом окне "Фильтровать текущий журнал". Обратите внимание, что в каждом случае, который я проверил, вы можете выбрать только один "Источник событий" или "Категория задачи" снова отключится.

Тем не менее, для категории, к которой вы хотите применить фильтр, сначала выясните, что это за источник, выберите его, а затем выберите категорию задачи.

После некоторой охоты я наконец нашел ответ на этот вопрос здесь и решил поделиться: https://social.technet.microsoft.com/forums/windowsserver/en-US/c5bafdd9-2e70-4ba5-ab0b-018e86adbc97/ фильтрование-2008-r2-событие лог-безопасности

1

Я добавляю этот ответ, потому что я также не мог фильтровать. Так что вам нужно вручную редактировать XML. Войдите в Редактировать свои Свойства Пользовательского Представления. чем перейти на вкладку XML и установить флажок « Редактировать запрос вручную »

у вас будет что-то вроде этого:

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]]</Select>
  </Query>
</QueryList>

Поэтому вам нужно добавить еще один фильтр (уровень уже добавлен, предупреждение, ошибка и т.д.). Добавьте «и (Задача = 12)», где 12 - номер вашей категории!

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (Task=12)]]</Select>
  </Query>
</QueryList>

И здесь вы можете обновить представление несколько раз, так как это сложно!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .