認証がされないときはeventviewerを追うが、量が多いのでフィルタリングをかけるのが大変である。また基本のフィルタリングでは、ソースworkstationでの検索をかけることができない。
この検索はcustom viewから検索できる。
まずロックをかけたオリジナルのドメインコントローラにログインする。
Eventviewer -> SecurityからCreate Custom Viewを選択する。
Event IDに関しては修正しなくてよい。XMLタブを開き、Edit Query Manuallyをチェックする。Data=を対象のアカウント名とする。
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID=4740) or (EventID=4771) or (EventID=4625) or (EventID=4776) or (EventID=4767)]] and *[EventData[Data and (Data="User Account")]] </Select> </Query> </QueryList>
Custom Viewを保存すればfilterしたイベントが出力される。
