โดยปกติ Windows Server จะมีเครื่องมือที่ใช้ในการตรวจสอบเหตุการณ์ต่าง ๆ ก็คือ Event Log ซึ่งเราสามารถสร้าง Custom View เพื่อดึงข้อมูล Query Data เฉพาะข้อมูลที่เราต้องการ
Get Started
- เปิด Event Viewer แล้วเลือก Cusom View
- คลิกขวา Server Roles เลือก Creat Custom View แล้วตั้งค่าตามภาพ
- คลิก Tab XML ค่า Default จะเป็นดังนี้
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']
</Select>
</Query>
</QueryList>- ให้แก้ไข Event เป็นหาจาก UserName และ DomainName
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] ='administrator']] and
*[EventData[Data[@Name='SubjectDomainName'] ='LAB']]
</Select>
</Query>
</QueryList>- จะแสดง Event ทั้งหมดของ User นั้นขึ้นมาให้
Tagged: Event Log
Leave a Reply