我有一个特定的“任务类别”的 Windows 日志事件,我想单独查看它们,但“过滤当前日志”对话框中按类别过滤的选项被禁用/变灰。我该如何使用它?
答案1
仅当您已在“过滤当前日志”对话框中为上方的“事件源”选择了某些内容后,“任务类别”才可用于过滤日志。请注意,在我检查过的每种情况下,您只能选择一个“事件源”,否则“任务类别”将再次被禁用。
也就是说,对于您想要过滤的类别,首先弄清楚来源是什么,选择它,然后选择任务类别。
经过一番寻找,我终于在这里找到了答案,并想与大家分享:https://social.technet.microsoft.com/forums/windowsserver/en-US/c5bafdd9-2e70-4ba5-ab0b-018e86adbc97/filtering-2008-r2-event-log-security
答案2
我添加这个答案是因为我无法过滤。所以你需要手动编辑 xml。输入编辑自定义视图属性。然后转到选项卡XML 并勾选“手动编辑查询“
你将会得到类似这样的结果:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]]</Select>
</Query>
</QueryList>
因此您需要添加另一个过滤器(级别已添加,警告,错误等)因此添加“and(Task=12)”其中 12 是您的类别的编号!
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='quem ME atende'] and (Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (Task=12)]]</Select>
</Query>
</QueryList>
在这里,您可能需要多次刷新视图,因为这很棘手!