我們正在執行具有 AD LDS(又稱 ADAM)的 Windows 2012。我們正在對應用程式進行故障排除,每小時運行的 ADAM 同步命令正在填滿我們的事件日誌。
事件檢視器篩選器顯示如何排除事件 ID 的條件,但不顯示如何排除使用者。我們的服務帳戶正在執行所有 ldap_modify 語句,我們不需要查看這些語句。由於我們的身分驗證流程使用 ldap_search(事件 ID 1138 或 1139),因此我們不能只排除所有這些事件。
有誰知道如何在事件檢視器過濾器中排除使用者?
答案1
PowerShell 是一種選擇嗎?
Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }
從那裡您可以將其儲存為 .evt 文件,或僅使用 PowerShell 對其進行解析和過濾到您喜歡的程度。如果您做一些研究,有大量關於使用 PowerShell 過濾和操作事件日誌的資源。