У меня есть определенная "категория задач" событий журнала Windows, которую я хотел бы видеть самостоятельно, но опция фильтрации по категориям в диалоговом окне "Фильтровать текущий журнал" отключена / неактивна. Как я могу использовать это?
2 ответа
8
"Категория задачи" доступна для фильтрации журнала только после того, как вы уже выбрали что-то для "Источников событий" выше, чем в диалоговом окне "Фильтровать текущий журнал". Обратите внимание, что в каждом случае, который я проверил, вы можете выбрать только один "Источник событий" или "Категория задачи" снова отключится.
Тем не менее, для категории, к которой вы хотите применить фильтр, сначала выясните, что это за источник, выберите его, а затем выберите категорию задачи.
После некоторой охоты я наконец нашел ответ на этот вопрос здесь и решил поделиться: https://social.technet.microsoft.com/forums/windowsserver/en-US/c5bafdd9-2e70-4ba5-ab0b-018e86adbc97/ фильтрование-2008-r2-событие лог-безопасности
1
Я добавляю этот ответ, потому что я также не мог фильтровать. Так что вам нужно вручную редактировать XML. Войдите в Редактировать свои Свойства Пользовательского Представления. чем перейти на вкладку XML и установить флажок « Редактировать запрос вручную »
у вас будет что-то вроде этого:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]]</Select>
</Query>
</QueryList>
Поэтому вам нужно добавить еще один фильтр (уровень уже добавлен, предупреждение, ошибка и т.д.). Добавьте «и (Задача = 12)», где 12 - номер вашей категории!
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (Task=12)]]</Select>
</Query>
</QueryList>
И здесь вы можете обновить представление несколько раз, так как это сложно!