Назад | Перейти на главную страницу

Можно ли отфильтровать (удалить) отдельный идентификатор события из средства просмотра событий?

Допустим, я хочу удалить одно событие из представления, чтобы просмотреть остальные. Как мне этого добиться? Это на коробке Server 2003 R2.

РЕДАКТИРОВАТЬ: Чтобы ответить на ваш отредактированный вопрос, самый простой способ, который я могу придумать, - это отсортировать журнал событий по идентификатору события, выбрать все, кроме событий, которые вы хотите исключить, а затем Save Selected Events в файл. Он будет сохранен в виде одного файла журнала событий, который затем можно открыть с помощью средства просмотра событий, и не будет содержать событий, которые вы не выбрали.

Другой вариант - Powershell, особенно если вы хотите сделать это для большого количества журналов событий, но у меня нет удобного сценария PS «исключить идентификатор события», поэтому я не собираюсь его использовать, если вы не попросите вежливо.

А теперь уже не совсем актуальный оригинальный ответ ниже.

Да, это довольно просто, но немного отличается в зависимости от того, какую версию Windows вы используете.

Изображения ниже.

В 2008 или Windows 7:

В 2003 или XP:

Вы даже можете использовать PowerShell для анализа журналов событий на основе любого количества факторов ... но встроенные фильтры довольно хороши.

Я отвечу на этот вопрос так, как я его истолковал - как отфильтровано конкретные значения идентификаторов событий.

Выберите "XML" вкладка в "Фильтр текущего журнала" вариант от «Действия» в средстве просмотра событий. Проверить «Редактировать запрос вручную» коробка.

Пользовательский запрос может быть выполнен с использованием XPath для фильтрации определенных идентификаторов событий (или других свойств в этом отношении). Здесь я создаю фильтр для событий sysmon, который отфильтровывает EventID 7 и 10:

 <QueryList>
   <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
     <Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID!=7)or(EventID!=10)]]</Select> 
   </Query>
 </QueryList>

После использования XPath нельзя вернуться к старому редактору на основе мастера / графического интерфейса пользователя, но он предлагает гораздо большую гибкость для фильтров, поскольку можно использовать любой оператор XPath.

К настоящему времени (проверено на Windows Server 2019) это легко сделать, добавив к идентификатору префикс со знаком минус (например, чтобы исключить 1000 вы бы напечатали -1000 в поле ID события)