假设我想从视图中删除单个事件,以便查看其余事件。我该如何实现?这是在 Server 2003 R2 框上。
答案1
编辑:要回答您编辑的问题,我能想到的最简单的方法是按事件 ID 对事件日志进行排序,选择除要排除的事件之外的所有内容,然后Save Selected Events将其归档。它将保存为单个事件日志文件,然后您可以使用事件查看器打开该文件,并且不会包含您未选择的事件。
Powershell 是另一种选择,特别是当您想对大量事件日志执行此操作时,但我手边没有“排除事件 ID” PS 脚本,所以除非您礼貌地询问,否则我不会使用它。
现在不太相关的原始答案如下。
是的,这非常简单,但根据您使用的 Windows 版本会略有不同。
下面有图片。
在2008年或Windows 7中:
在2003或XP中:
您甚至可以使用 PowerShell 根据多种因素为您解析事件日志……但内置的过滤器非常好。
答案2
到目前为止(在 Windows Server 2019 上检查),这可以通过在 ID 前加上减号来轻松完成(例如,要排除,1000您可以-1000在事件 ID 字段中输入)
答案3
我遇到过非常类似的情况,我想过滤掉整个来源而不是单个事件 ID。事实证明,这非常简单,而且适用于任何内容:事件级别、事件来源、任务类别、关键字、用户和计算机。
单击“过滤当前日志”,然后选择要过滤的内容。如果您不想看到任何信息级事件,请选中事件级别旁边的“信息”。如果您不想看到任何带有“审计成功”关键字的事件,请在关键字下选择“审计成功”。就我而言,我想过滤掉 Security-SPP 源中的所有内容,因此我在事件源下选择了它。
现在,打开 XML 选项卡并选中“手动编辑查询”。您将看到一个 <Select> 元素,其中包含一堆文本。
例子:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Select>
</Query>
</QueryList>
复制开始的 <Select> 标签并将其粘贴到原始 <Select> 元素的正上方。然后,输入 * 并编写结束 </Select> 标签。
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*</Select>
<Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Select>
</Query>
</QueryList>
最后,通过改变开始和结束标签将原来的 <Select> 元素更改为 <Suppress> 元素。
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*</Select>
<Suppress Path="Application">*[System[Provider[@Name='Microsoft-Windows-Security-SPP']]]</Suppress>
</Query>
</QueryList>
点击“确定”,然后 BAM!所有符合该过滤器的事件都将消失!
答案4
我将按照我的理解来回答这个问题——过滤掉特定事件 ID 值。
选择“XML”选项卡中的“过滤当前日志”选择来自“行动”在事件查看器中。检查“手动编辑查询”盒子。
可以使用 XPath 进行自定义查询以过滤掉特定的事件 ID(或其他属性)。在这里,我为 sysmon 源事件创建了一个过滤器,以过滤掉 EventID 7 和 10:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID!=7)or(EventID!=10)]]</Select>
</Query>
</QueryList>
一旦使用 XPath,就无法恢复到旧的基于向导/GUI 的编辑器,但它为过滤器提供了更多的灵活性,因为可以使用任何 XPath 运算符。