Ereignisanzeige - Filter mit XML erstellen - Server 2008
Hallo
ich bin gerade dabei bei einem Server 2008 die Ereignisanzeige so zu Filtern, dass man bequem alle Dateizugriffe der Nutzer überprüfen kann.
Nun erstelle ich gerade eigene XML Filter, da die vorhandene Maske zur Filtererstellung doch zu rudimentär ist.
Mein Problem:
Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1541" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1541" nicht frisst. Ich vermute, dass es an den %% liegt.
Wie formuliert man diese Abfrage richtig in XPath ?
So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:
Danke für eure Mühen!
ich bin gerade dabei bei einem Server 2008 die Ereignisanzeige so zu Filtern, dass man bequem alle Dateizugriffe der Nutzer überprüfen kann.
Nun erstelle ich gerade eigene XML Filter, da die vorhandene Maske zur Filtererstellung doch zu rudimentär ist.
Mein Problem:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1541")]]</Select>
</Query>
</QueryList>
Wie formuliert man diese Abfrage richtig in XPath ?
So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4663</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12800</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-08-28T20:56:13.122Z" />
<EventRecordID>53144</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="80" />
<Channel>Security</Channel>
<Computer>WIN-LRZHQKRRMKW</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data>
<Data Name="SubjectUserName">test</Data>
<Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data>
<Data Name="SubjectLogonId">0x264f08</Data>
<Data Name="ObjectServer">Security</Data>
<Data Name="ObjectType">File</Data>
<Data Name="ObjectName">C:\ftp\secops.exe</Data>
<Data Name="HandleId">0x8f8</Data>
<Data Name="AccessList">%%1537</Data>
<Data Name="AccessMask">0x10000</Data>
<Data Name="ProcessId">0x4</Data>
<Data Name="ProcessName" />
</EventData>
</Event>
Danke für eure Mühen!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 123749
Url: https://administrator.de/forum/ereignisanzeige-filter-mit-xml-erstellen-server-2008-123749.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
3 Kommentare
Neuester Kommentar
Leider gab es auf diesen Beitrag anscheinend keine Antwort.. Das selbe Problem hab ich nämlich im Moment auch! Ich würde gerne filtern wenn jemand Dateien auf einem Server löscht. Jedoch werden beim Auditing so viele Meldungen die nicht interessant sind ausgegeben und der normale Filter ist nich flexibel genug..
Wie müsste ich den XML Filter abändern um wirklich nur die Ereignisse zu bekommen wo etwas gelöscht wird?
Wie müsste ich den XML Filter abändern um wirklich nur die Ereignisse zu bekommen wo etwas gelöscht wird?