Мы работаем в Windows 2012 с AD LDS (он же ADAM). Мы устраняем неполадки в приложении, и ежечасно выполняемая команда синхронизации ADAM заполняет наш журнал событий.
Фильтры средства просмотра событий показывают, как исключать критерии для идентификаторов событий, но не как исключать пользователей. Наша сервисная учетная запись выполняет все инструкции ldap_modify, и нам не нужно их видеть. Поскольку наш процесс аутентификации использует ldap_search (идентификаторы событий 1138 или 1139), мы не можем просто исключить все эти события.
Кто-нибудь знает, как исключить пользователей в фильтрах просмотра событий?
Можно ли использовать PowerShell?
Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }
Оттуда вы можете сохранить его в виде файла .evt или просто использовать PowerShell, чтобы проанализировать и отфильтровать его до глубины души. Если вы немного исследуете, есть много ресурсов по использованию PowerShell для фильтрации журналов событий и управления ими.