Windows的事件查看器中的日志包含了很多信息,但是系统自带的筛选器只能筛选固定的字段和内容。有时候想根据某个事件中的用户名或者IP筛选的时候就没办法了。此时需要创建自定义筛选器来实现。
首先找到希望筛选的日志,调整成详细的XML视图。
这里面就有我们需要用到的字段信息。然后自定义筛选器的时候,选择编辑XML。
并且在</Select>前添加一行
[EventData[Data[@Name='TargetUserName'] and (Data='shineday')]]
然后点击确定。等待系统自动筛选就好了。如果需要同时指定事件ID,则添加一行
*[System[(EventID=4624)]]
同理,如果需要筛选多个字段,依次添加就行了。
