Использование SQL 2008 R2Сравнение записей в одной таблице SQL
У меня есть таблица, содержащая записи журнала событий безопасности Windows. Возможные идентификаторы событий: 560, 562 и 564.
Это три записи журнала событий, созданные, когда пользователь удаляет файл.
560 содержит большую часть данных о пользователе, который выполнил удаление, IP-адрес источника, имя файла и т. Д. Однако 560 не является событием, которое подтверждает удаление. 560 - это тип события открытого события.
Когда пользователь удаляет файл, сначала создается 560 (объект открытый), затем 562 (дескриптор закрыт) и, наконец, 564 (удаление объекта).
Общая связь между всеми тремя из этих событий - это идентификатор дескриптора. Таким образом, для одного удаления вы будете иметь что-то похожее на следующее:
EventID HandleID UserName Event File
564 000015f7 NT AUTHORITY\SYSTEM Object Delete N/A
562 000015f7 NT AUTHORITY\SYSTEM Handle Closed N/A
560 000015f7 DOMAIN\USER Object Open \share\filename
Я хотел UserName и File из 560 события, но только тогда, когда есть 564 Вт/же HandleID.