Windows 事件日誌排除使用者

我們正在執行帶有 AD LDS（又名 ADAM）的 Windows 2012。我們正在對應用程序進行故障排除，每小時執行的 ADAM 同步命令正在填滿我們的事件日誌。

事件查看器過濾器顯示如何排除事件 ID 的條件，但不顯示如何排除使用者。我們的服務帳戶正在執行所有 ldap_modify 語句，我們不需要查看這些語句。因為我們的身份驗證過程使用 ldap_search（事件 ID 1138 或 1139），所以我們不能只排除所有這些事件。

有誰知道如何在事件查看器過濾器中排除使用者？

PowerShell是一種選擇嗎？

Get-EventLog -LogName "AD LDS" -After 05/14/14 | ? {$_.UserName -notlike "*USERNAME*" }

從那裡您可以將其保存為 .evt 文件，或者僅使用 PowerShell 對其進行解析和過濾，以達到您的心目中的程度。如果你做一些研究，有很多關於使用 PowerShell 過濾和操作事件日誌的資源。

引用自：https://serverfault.com/questions/595165