우리는 AD LDS(일명 ADAM)가 포함된 Windows 2012를 실행하고 있습니다. 응용 프로그램의 문제를 해결하고 있으며 매시간 실행되는 ADAM sync 명령이 이벤트 로그를 채우고 있습니다.
이벤트 뷰어 필터는 이벤트 ID 기준을 제외하는 방법을 보여주지만 사용자를 제외하는 방법은 보여주지 않습니다. 우리 서비스 계정은 모든 ldap_modify 문을 수행하고 있으므로 이를 볼 필요가 없습니다. 인증 프로세스에서는 ldap_search(이벤트 ID 1138 또는 1139)를 사용하므로 해당 이벤트를 모두 제외할 수는 없습니다.
이벤트 뷰어 필터에서 사용자를 제외하는 방법을 아는 사람이 있나요?
답변1
PowerShell은 옵션인가요?
Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }
거기에서 .evt 파일로 저장하거나 PowerShell을 사용하여 마음대로 구문 분석하고 필터링할 수 있습니다. 조금만 조사해 보면 PowerShell을 사용하여 이벤트 로그를 필터링하고 조작하는 방법에 대한 많은 리소스가 있습니다.