Event Viewerで「特定ユーザのファイル参照」のフィルタをかける方法

2020年12月27日

Windows(server)のEvent ViewerのTipsです。
セキュリティログは監査ログとしてとっていることが前提です。

金はないがログは解析しろー、といういつものやつで、
あるユーザがなんのファイルにいつアクセスをしたか調べる必要がありました。

イベントビューワーのフィルタに「ユーザー」とあるので、ここに入れれば解決と思ってしまいますが、
ここで引かれる「ユーザー」とはイベントを生成したユーザー、「n/a」みたいで、検索でヒットしません。

参考サイトで全部説明されてるけど

参考サイト:Event Viewerで特定のユーザー名でフィルタして表示させる方法

基本的にはこちらのサイトの通りですが、
サンプルの「TargetUserName」ですと、ログイン・ログアウトの情報しか出てきません。

この部分を「SubjectUserName」にしてやると、「指定したユーザがどのファイルにいつアクセスしたか」フィルタになります。

カスタムビューの作成

Event Viewer右ペインから「カスタムビューの作成」⇒「XML」タブを選択⇒「☑手動でクエリを編集する」にチェックでクエリを編集します。

<Select Path="Security">*</Select>

<Select Path="Security">*[EventData[Data[@Name='SubjectUserName']='username']]</Select>

に編集します。
「username」は「SubjectUserName」で引っ掛けるユーザ名にします。

引っ掛ける、「SubjectUserName」は、イベント表示の「詳細」⇒「XMLで表示」の中にあります。

このくらい標準のフィルタ機能に持っててほしい、不便すぎ。