Допустим, я хочу удалить одно событие из представления, чтобы просмотреть остальные. Как мне этого добиться? Это на коробке Server 2003 R2.
РЕДАКТИРОВАТЬ: Чтобы ответить на ваш отредактированный вопрос, самый простой способ, который я могу придумать, - это отсортировать журнал событий по идентификатору события, выбрать все, кроме событий, которые вы хотите исключить, а затем Save Selected Events
в файл. Он будет сохранен в виде одного файла журнала событий, который затем можно открыть с помощью средства просмотра событий, и не будет содержать событий, которые вы не выбрали.
Другой вариант - Powershell, особенно если вы хотите сделать это для большого количества журналов событий, но у меня нет удобного сценария PS «исключить идентификатор события», поэтому я не собираюсь его использовать, если вы не попросите вежливо.
А теперь уже не совсем актуальный оригинальный ответ ниже.
Да, это довольно просто, но немного отличается в зависимости от того, какую версию Windows вы используете.
Изображения ниже.
В 2008 или Windows 7:
В 2003 или XP:
Вы даже можете использовать PowerShell для анализа журналов событий на основе любого количества факторов ... но встроенные фильтры довольно хороши.
Я отвечу на этот вопрос так, как я его истолковал - как отфильтровано конкретные значения идентификаторов событий.
Выберите "XML" вкладка в "Фильтр текущего журнала" вариант от «Действия» в средстве просмотра событий. Проверить «Редактировать запрос вручную» коробка.
Пользовательский запрос может быть выполнен с использованием XPath для фильтрации определенных идентификаторов событий (или других свойств в этом отношении). Здесь я создаю фильтр для событий sysmon, который отфильтровывает EventID 7 и 10:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID!=7)or(EventID!=10)]]</Select>
</Query>
</QueryList>
После использования XPath нельзя вернуться к старому редактору на основе мастера / графического интерфейса пользователя, но он предлагает гораздо большую гибкость для фильтров, поскольку можно использовать любой оператор XPath.
К настоящему времени (проверено на Windows Server 2019) это легко сделать, добавив к идентификатору префикс со знаком минус (например, чтобы исключить 1000
вы бы напечатали -1000
в поле ID события)