按用户名而不是 sid 过滤日志
问题描述 投票:0回答:2
我想过滤特定用户名的一些日志。在事件查看器中,您可以在提到的字段中输入用户名,它将过滤您的日志。但我想使用 cmd ( wevtutil ) ,所以我应该使用 xml 查询来过滤我的日志。但问题就出现在这里。在 xml 查询中,您只能输入要查找的用户的 sid(在 system[security[@Userid]]] 中)。 是否可以以某种方式使用用户名而不是 sid?
注意事项: 在事件查看器中,当您输入 username 时,它会将用户名转换为 sid 并在其 xml 查询中使用 sid。我不知道它是如何发生的。
我应该在这里提到一个注释: 有些人建议我使用“目标用户名”来过滤我的日志。但这不是我要找的。 “目标用户名”仅处理登录日志。
2个回答
0
投票
投票
您可以仅使用用户名来检索其 SID,以便在您的
wevtutil从命令提示符,(cmd):
For /F %G In ('%SystemRoot%\System32\wbem\WMIC.exe UserAccount Where "Name='KnownUserName'" Get SID 2^>NUL ^| %SystemRoot%\System32\find.exe "-"') Do @%SystemRoot\System32\wevtutil.exe CommandLineOptions
您只需替换
KnownUserNameCommandLineOptions%G或者来自批处理文件:
@For /F %%G In ('%SystemRoot%\System32\wbem\WMIC.exe UserAccount Where
"Name='KnownUserName'" Get SID 2^>NUL ^| %SystemRoot%\System32\find.exe "-"'
) Do @%SystemRoot\System32\wevtutil.exe CommandLineOptions
显然您会再次替换
KnownUserNameCommandLineOptions%%G0
投票
投票
我希望这对大家有帮助,因为我也遇到了同样的问题。查询与特定用户相关的事件。下面,
JsmithTargetUserNameSubjectUserNamewevtutil qe security /q:"*[EventData/Data[@Name='TargetUserName']='Jsmith']"或
wevtutil qe security /q:"*[EventData/Data[@Name='SubjectUserName']='Jsmith']"最新问题
- R中glm逻辑回归模型的决定阈值
- 如何在 Azure DevOps TFVC / GIT 中查找特定变更集/提交的代码改动信息
- 使用CSS在鼠标按下时突出显示div
- 如何设置“自定义”敏感度标签?
- 我可以安全地将 TypeScript 传播到任何数组切片吗?
- 在 Django URL 模式中使用多个空路由可以吗?
- 如何拖放编辑器组来自定义 VS Code 中的布局?
- 网站文件未显示在本地主机上,而是显示仪表板
- 从雪花表中删除完全重复的一个
- 未捕获的 DOMException:无法在“存储”上执行“setItem”:设置“domains”的值超出配额
- “flutter”未被识别为内部或外部命令
- OSError:[模型] 似乎没有名为 config.json 的文件
- 如何访问springs中的另一个字段@Value
- 两个设备之间的UART通信是如何工作的?
- 如何在 Flutter 中使用另一个提供者内部的提供者
- Angular 材料日期选择器:日期解析 UTC 问题 1 天前
- 如何使用c#替换字符串的最后一个字符?
- 如何为DataFrame实现类型提示
- 自动更改文本颜色以确保可读性
- 如何最好地监听 PHP 中传入的 webhook?
© www.soinside.com 2019 - 2024. All rights reserved.