イベントビューアから単一のイベントIDを除外(削除)することは可能ですか?
ビューから1つのイベントを削除して、残りを表示できるようにしたいとします。どうすればこれを達成できますか?これは、Server 2003R2ボックスにあります。
編集:編集した質問に答えるには、イベントログをイベントIDで並べ替え、除外するイベント以外のすべてを選択してから、ファイルにSave Selected Eventsするのが最も簡単な方法です。単一のイベントログファイルとして保存され、イベントビューアで開くことができ、選択しなかったイベントは含まれません。
Powershellのもう1つのオプションは、特に多数のイベントログに対してこれを実行したい場合ですが、「イベントIDを除外する」PSスクリプトが手元にないので、きちんと質問しない限り、それをパンチするつもりはありません。
そして、今ではあまり関連性のない元の答えを以下に示します。
はい、それは非常に簡単ですが、使用しているWindowsのバージョンによって少し異なります。
下の画像。
2008またはWindows7の場合:
2003またはXPの場合:
PowerShellを使用して、任意の数の要因に基づいてEventLogを解析することもできます...しかし、組み込みのフィルターは非常に優れています。
今では(Windows Server 2019でチェック済み)、これはIDの前にマイナス記号を付けることで簡単に実行できます(たとえば、1000を除外するには、イベントIDフィールドに-1000と入力します)
私はそれを解釈したときにこれに答えるつもりです-1つの特定のイベントID値をどのように除外しますか?.
イベントビューアの"Actions"から"Filter Current Log"オプションの"XML"タブを選択します。 "クエリを手動で編集する"ボックスをオンにします。
XPathを使用してカスタムクエリを作成し、特定のイベントID(またはその他のプロパティ)を除外できます。ここでは、EventID7および10を除外するsysmonソースイベントのフィルターを作成しています。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID!=7)or(EventID!=10)]]</Select>
</Query>
</QueryList>
XPathを使用すると、古いウィザード/ GUIベースのエディターに戻すことはできませんが、任意のXPath演算子を使用できるため、フィルターの柔軟性が大幅に向上します。