我们正在运行带有 AD LDS(又名 ADAM)的 Windows 2012。我们正在对应用程序进行故障排除,每小时运行一次的 ADAM 同步命令填满了我们的事件日志。
事件查看器过滤器显示了如何排除事件 ID 的条件,但没有显示如何排除用户。我们的服务帐户正在执行所有 ldap_modify 语句,我们不需要看到这些语句。因为我们的身份验证过程使用 ldap_search(事件 ID 1138 或 1139),所以我们不能排除所有这些事件。
有人知道如何在事件查看器过滤器中排除用户吗?
答案1
PowerShell 是一个选项吗?
Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }
从那里,您可以将其保存为 .evt 文件,或者只是使用 PowerShell 对其进行解析和过滤,直到您满意为止。如果您进行一些研究,就会发现很多关于使用 PowerShell 过滤和操作事件日志的资源。