Ereignisanzeige genauer filtern
Hallo zusammen,
ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:
Kann mir jemand helfen?
Danke!
VG
ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:
- Anmeldetyp: 2, 7, 9 oder 10
- Quellnetzwerkadresse
Kann mir jemand helfen?
Danke!
VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310879
Url: https://administrator.de/contentid/310879
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Sure this is possible via the xml xpath filter language...
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!
Regards
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!
Regards
Hallo mollotoff,
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:
Hier ein Beispiel für deine Beschreibung
EventID, LogonTypes und IP-Adresse natürlich anpassen. Jetzt sollte das Schema klar sein.
Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.
Grüße Uwe
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:
Hier ein Beispiel für deine Beschreibung
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56')]]</Select>
</Query>
</QueryList>
Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.
Grüße Uwe
Hast du dir mal die Event-Details auf der XML-Seite des Events überhaupt mal angesehen??
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56') and (Data[@Name = 'TargetUserName'] = 'MaxMustermann')]]</Select>
</Query>
</QueryList>