none
Filtrar por Visor de Eventos segun usuario RRS feed

  • Pregunta

  • Buenas, tengo un servidor de archivos donde las otra personas de la red acceden y trabajan en el guardando la mayoria de los archivos usado, el jefe quiere saber que archivos ha accedido durante el dia para tener un control de los empleados, ya active la funcion de auditoria de acceso a archivos y funciona excelente, cree un filtro en el visor de eventos para que me muestre solo los registros de acceso a dichos archivos, el problema es que me muestra todos los archivos que accesan todos los usuarios y quisiera poder crear varios filtros para que me lo muestre por usuario, intente en la parte que dice "usuario" al crear un filtro pero no me muestra porque el usuario en el evento dice "No Disponible" pero al leer el evento hay una parte en "EventData" que dice "SubjectUserName" y ahi aparece el usuario que acceso a dicho archivo, he intentado filtrar por EventData pero no me lo permite y a simple vista no me deja configurarlo asi que me toca modificar el query xml de dicho filtro pero no me a dado resultado las maneras como lo he intentado, este es mi codigo actual que me muestra todos los usuarios que accedieron a los archivos

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12800 and (band(Keywords,9007199254740992)) and (EventID=4656)]]</Select>
      </Query>
    </QueryList>

    Espero de su ayuda por favor

    Gracias de Antemano

    miércoles, 3 de julio de 2013 15:37

Respuestas

Todas las respuestas