创建自定义日志筛选器

Windows的事件查看器中的日志包含了很多信息，但是系统自带的筛选器只能筛选固定的字段和内容。有时候想根据某个事件中的用户名或者IP筛选的时候就没办法了。此时需要创建自定义筛选器来实现。

首先找到希望筛选的日志，调整成详细的XML视图。

 

 

这里面就有我们需要用到的字段信息。然后自定义筛选器的时候，选择编辑XML。

并且在</Select>前添加一行

[EventData[Data[@Name='TargetUserName'] and (Data='shineday')]]

然后点击确定。等待系统自动筛选就好了。如果需要同时指定事件ID，则添加一行

*[System[(EventID=4624)]]

同理，如果需要筛选多个字段，依次添加就行了。