查看事件日志时,可以筛选正在显示的事件。事件筛选设计为临时使用,并可以轻松地删除应用的筛选器。但是,如果创建要重复使用的有用筛选器,则可以将其另存为自定义视图。

筛选显示的事件的步骤

  1. 启动事件查看器。

  2. 在控制台树中,选择要筛选的事件日志。

  3. “操作”菜单上,单击“筛选当前日志”

  4. 若要基于所发生时间来筛选事件,请从“已记录”下拉列表中选择相应的时间段。

    注意

    如果没有可接受的选项,请选择“自定义范围”。在“自定义范围”对话框中,指定希望事件开始的最早日期和时间以及希望事件开始的最晚日期和时间。单击“确定”

  5. “事件级别”中,选中希望筛选显示的事件级别旁的复选框。

  6. “事件源”下拉列表中,选中希望筛选器显示的事件来源旁的复选框。

  7. “事件 ID”中,键入希望筛选器显示的事件 ID。以逗号分隔多个事件 ID。如果要包括一个范围的 ID,比如说 4624 到 4634(包括 4634),请键入 4624-4634。如果希望筛选器显示包括除某些 ID 以外所有 ID 的事件,请键入这些排除的 ID,前面加一个减号。例如,若要包括 4624 和 4634 之间除 4630 以外的所有 ID,请键入 4624-4634,-4630

  8. “任务类别”中,选中下拉列表中希望筛选器显示的任务类别旁的复选框。

  9. “关键字”下拉列表中,选中希望筛选器显示的关键字旁的复选框。

  10. “用户”中,输入希望筛选器显示的用户帐户的名称。若要输入多个用户帐户,请以逗号 (,) 分隔。

  11. “计算机”中,输入希望筛选器显示的计算机的名称。此字段指的是事件的源计算机。输入多个计算机,以逗号 (,) 分隔。

  12. 单击“确定”以应用筛选器。

其他注意事项

  • 若要删除当前应用的筛选器,请在“操作”菜单上单击“清除筛选器”

  • “筛选当前日志”对话框中将某个字段留空表示希望筛选器显示包含相应属性的任何值的条目。

  • 不能对未出现在正在筛选的日志中的事件来源、任务类别或关键字进行筛选。

  • 筛选器适用于单个事件日志。如果要跨事件日志进行筛选,则必须创建自定义视图。

其他资源

将筛选器另存为自定义视图

目录