在我的 Windows Server 2008 R2 企业安全事件日志中,“用户:”字段的所有条目都为“N/A”。
我可以做些什么来填写该字段?
我注意到该信息记录在日志条目的消息中;我只是想在用户:字段中看到这些信息,以使日志更容易解析。
编辑:
我希望看到与用户登录和注销相关的事件的“用户:”字段的填写(因此事件 ID 为 4624 和 4634、4647)。
答案1
安全事件日志中的事件并非都与用户相关。例如,由于 DST 而导致的系统时间更改将在安全事件日志中生成事件,但该事件与用户无关。您具体查看的是哪些事件 ID?