Фильтрация журнала событий безопасности win2k8 по пользователю
Для того что бы определить какой пользователь и когда совершал вход в систему необходимо в журналах Windows, журнал Безопасность настроить XML запрос
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='TargetUserName']='user_io']]</Select>
</Query>
</QueryList>
Добавить комментарий