Мы используем Windows 2012 с AD LDS (он же ADAM). Мы устраняем неполадки приложения, и команда синхронизации ADAM, которая запускается каждый час, заполняет наш журнал событий.
Фильтры просмотра событий показывают, как исключить критерии для идентификаторов событий, но не как исключить пользователей. Наша учетная запись службы выполняет все операторы ldap_modify, и нам не нужно их видеть. Поскольку наш процесс аутентификации использует ldap_search (идентификаторы событий 1138 или 1139), мы не можем просто исключить все эти события.
Кто-нибудь знает, как исключить пользователей из фильтров просмотра событий?
решение1
Можно ли использовать PowerShell?
Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }
Оттуда вы можете сохранить его в файл .evt или просто использовать PowerShell для разбора и фильтрации в меру своих сердец. Существует множество ресурсов по использованию PowerShell для фильтрации и управления журналами событий, если вы проведете небольшое исследование.