В моем журнале событий безопасности предприятия Windows Server 2008 R2 для всех записей в поле «Пользователь:» указано «Н / Д».
Что я могу сделать, чтобы заполнить это поле?
Я заметил, что эта информация записана в сообщении записи журнала; Я просто хотел бы видеть эту информацию в поле User :, чтобы облегчить анализ журнала.
РЕДАКТИРОВАТЬ:
Я хотел бы, чтобы поле «Пользователь:» было заполнено для событий, связанных с входом в систему и выходом из системы (т.е. идентификаторы событий 4624 и 4634, 4647).
Не каждое событие в журнале событий безопасности связано с пользователем. Например, изменение системного времени из-за перехода на летнее время приведет к возникновению события в журнале событий безопасности, но событие не связано с пользователем. Какие идентификаторы событий вы конкретно смотрите?