V systéme Windows Server 2003 / Windows XP bolo ľahké filtrovať udalosti podľa systémového účtu v protokole systémových udalostí zadaním názvu požadovaného účtu do poľa Filter filtra používateľa. V systémoch Windows Server 2008 / Windows 7 a novších však tento jednoduchý spôsob, ako nájsť udalosti týkajúce sa konkrétneho používateľa, nefunguje, hoci samotné pole User je v nastaveniach filtra (zdá sa, že zostáva rovnakým spôsobom).
V systéme Windows Server 2008 v štandardnom zobrazení denníka udalostí chýba pole User. Skúsme ich pridať pomocou ponuky vyhliadka -> Pridať alebo odstrániť stĺpce.
Teraz sa v zobrazení denníka objavil stĺpec Používateľ, v tomto stĺpci však nie je žiadne používateľské meno iniciátora udalosti, namiesto toho sa zobrazuje Neuvádza sa. Informácie o účte sú teraz obsiahnuté v popise samotnej udalosti (v hodnotách atribútov Security ID a Account Name v tomto príklade). Ako teraz môžete filtrovať udalosti v denníku? 
Na filtrovanie udalostí podľa názvu používateľského účtu (a akýchkoľvek ďalších atribútov udalostí) môžete v systéme Windows Server 2008 (a novších) použiť možnosť manuálnej modifikácie XML dotazy (XPath) na vzorkovanie.
Otvorte teda požadovaný časopis Zobrazenie udalosti (v našom príklade ide o denník zabezpečenia) av kontextovej ponuke vyberte položku Filtrovať aktuálny denník ... .
Prejdite na kartu XML a začiarknite políčko Upraviť dopyt ručne.
Skopírujte nasledujúci kód a vyberte všetky udalosti z denníka pre konkrétneho používateľa (nahradiť užívateľské meno na požadovaný účet).
* [EventData [Data [@ Name = 'subjectUsername'] = 'username']]
Uložíme zmeny do filtra a pozrieme sa na denník. Malo by to zostať udalosťami súvisiacimi s týmto účtom.
Ak napríklad potrebujete dodatočne filtrovať udalosti podľa používateľa a ID udalosti 4624 (úspešné prihlásenie - účet bol úspešne prihlásený) a 4625 (neúspešné prihlásenie - účet sa nepodarilo prihlásiť.), Filter XPath môže vyzerať takto:
* [Systém [(EventID = 4624 alebo EventID = 4625)]]
* [EventData [Data [@ Name = 'subjectUsername'] = 'username']]
![Finančné výsledky spoločnosti Microsoft [Q1 FY2016] sa znižujú, Lumia dole, Bing sa konečne stal nákladovo efektívny](http://telusuri.info/img/images_1/finansovie-rezultati-microsoft-[q1-fy2016]-oblako-vverh-lumia-vniz-bing-nakonec-to-stal-rentabelnim.jpg)
