从Windows审计日志中提取任何机器特定的信息?

这是这个问题的后续。

我遵循了接受的答案,并认为我对结果感到满意,但遇到了障碍。

安装程序

我从监视目录的服务器运行我的C#程序。 任何时候文件被修改,FileSystemWatcher触发一个事件,导致程序检查安全审计日志(已打开,请参阅上一个问题的解决scheme)。

问题

我的问题是,当我在远程用户修改文件后检查安全日志时,他们被logging为匿名用户。 特别是“NT AUTHORITY \ SYSTEM”。 有没有办法从这些安全日志中提取独特的信息,这将有助于我区分修改文件的用户?

Deets

我使用EventLog来读取这样的安全日志:

 EventLog log = new EventLog("security"); EventLogEntryCollection col = log.Entries; //... string username = entry.UserName; 

Solutions Collecting From Web of "从Windows审计日志中提取任何机器特定的信息?"