Heute musste ich beim Troubleshooting das Eventlog eines Windows 2019 Servers durchsuchen und kam mit den Standard-Filter-Einstellungen an meine Grenzen. Der Nerd-Weg ist dann sich eine Abfrage mit XML zu basteln. Ich wollte in den „Windows Protokollen“ im Bereich „Sicherheit“ nach einem Benutzernamen (Username → TargetUserName) und einer bestimmten Event-ID suchen. Nachdem ich bei meiner Recherche keinen passenden XML-Code (Beispiel) gefunden habe, hab ich mir diesen von verschiedenen Quellen zusammen kopiert. Raus gekommen ist nachstehendes Code-Schnipsel, welches mir die relevanten Informationen dann geliefert hat. ;-)
<QueryList>
<Query Id="0">
<Select Path="Security">
*[EventData[Data[@Name='TargetUserName'] and (Data='USERNAME')]]
and
*[System[(EventID='EVENTID')]]
</Select>
</Query>
</QueryList>Gut geholfen hat mir nachstehende Microsoft-Supportseite:
https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/advanced-xml-filtering-in-the-windows-event-viewer/ba-p/399761