Event Viewerで特定のユーザー名でフィルタして表示させる方法

2019.07.082019.07.09

Event Viewerで，特定のユーザー名のログだけフィルタして表示したい場合があります。

そのために，どのようなカスタムビューを作成するとよいでしょうか。

Custom Viewを作成する方法

まず，Event Viewerを立ち上げ，Custom Viewsを右クリックして，Create Custom View…をクリックします。

Create Custom View…をクリック。

すると，どのような項目でフィルタをかけるのかを選択できるのですが，ここで間違えがちなのは，下図のUserという項目にユーザー名を入れてしまうことです。

ここで言われているUserという要素は，恐らく思っている項目を指してはいません。

Userという項目でフィルタをかけるとうまくいかない。

それで，XMLタブに移動して，Edit query manuallyのチェックボックスを入れつつ，以下のクエリを入力してみましょう。

USERNAMEの部分は，検索したいユーザー名に置き換えてください。

<QueryList><Query Id="0" Path="Security"><Select Path="Security">* [EventData[Data[@Name='TargetUserName']='USERNAME']]</Select></Query></QueryList>

Event ViewerにおいてXMLでCustom Queryを作成する。

そして，Custom Viewに名前を付けるように促されますので，Filtered by USERNAMEなど，適当な名前を付けてください。

Event ViewerのCustom Viewに名前を付ける

ユーザー名以外にも，他の要素でフィルタをかけたいということもあるでしょう。
そのような場合には，イベントのDetailを見て，XML Viewで表示させてみましょう。

すると，当該のイベントにおいて，どのような要素をフィルタに使うことができるのかを確認できます。

Event ViewerのDetailからXML Viewを見てみると使用可能な他の要素も見つけられる。

以上，Event Viewerで特定のユーザー名などでフィルタして表示させたい場合に，Custom Viewを作成する方法でした。