U sustavu Windows Server 2003 / Windows XP bilo je lako filtrirati događaje po korisničkom računu u dnevniku sistemskih događaja određivanjem imena potrebnog računa u polju Korisnički filtar filtra dnevnika. No, u sustavu Windows Server 2008 / Windows 7 i novijim verzijama, ovaj jednostavan način pronalaženja događaja vezanih za određenog korisnika ne funkcionira, iako se i samo korisničko polje nalazi u postavkama filtra (očito ostaje na stari način).
U sustavu Windows Server 2008 korisničko polje nedostaje u standardnom prikazu dnevnika događaja. Pokušajmo ga dodati pomoću izbornika pogled -> Dodavanje / uklanjanje stupaca.
Sada se stupac Korisnik pojavio u prikazu dnevnika, ali u ovom stupcu nema korisničkog imena inicijatora događaja, već prikazuje N / a. Podaci računa sada se nalaze u opisu samog događaja (u vrijednostima atributa Security ID i Računa u ovom primjeru). Kako sada mogu filtrirati događaje u dnevniku? 
Za filtriranje događaja prema imenu korisničkog računa (i svim drugim atributima događaja) u sustavu Windows Server 2008 (i novijim) možete koristiti opciju ručne izmjene XML upiti (XPath) za uzorkovanje.
Dakle, otvorite željeni časopis u Prikaz događaja (u našem primjeru ovo je zapisnik sigurnosti) i u kontekstnom izborniku odaberite Filtriranje trenutnog dnevnika ... .
Idite na karticu XML i potvrdite okvir Ručno uređivanje upita.
Kopirajte sljedeći kôd da biste odabrali sve događaje iz dnevnika za određenog korisnika (zamijeni) korisničko ime na željeni račun).
* [EventData [Podaci [@ Name = 'subjectUsername'] = 'korisničko ime']]
Spremamo promjene u filtru i pogledamo u zapisnik. Ostali bi događaji povezani s ovim računom.
Ako, na primjer, trebate dodatno filtrirati događaje prema korisniku i događaju ID 4624 (uspješna prijava - račun je uspješno prijavljen) i 4625 (neuspješna prijava - račun se nije uspio prijaviti.) XPath filter može izgledati ovako:
* [Sustav [(EventID = 4624 ili EventID = 4625)]]
* [EventData [Podaci [@ Name = 'subjectUsername'] = 'korisničko ime']]
![Microsoftovi financijski rezultati [Q1 FY2016] oblak, Lumia dolje, Bing je konačno postao isplativ](http://telusuri.info/img/images_1/finansovie-rezultati-microsoft-[q1-fy2016]-oblako-vverh-lumia-vniz-bing-nakonec-to-stal-rentabelnim.jpg)
