mollotoff
26.07.2016, aktualisiert um 16:18:49 Uhr
view23245
view5
0
Goto Top

Ereignisanzeige genauer filtern

gelöstFrageMicrosoftWindows Server
Hallo zusammen,

ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:

  • Anmeldetyp: 2, 7, 9 oder 10
  • Quellnetzwerkadresse

Kann mir jemand helfen?

Danke!

VG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 310879

Url: https://administrator.de/contentid/310879

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
129813
129813 26.07.2016 aktualisiert um 11:30:42 Uhr
Goto Top
Sure this is possible via the xml xpath filter language...
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!

Regards
heart1
colinardo
colinardo 26.07.2016 aktualisiert um 13:40:56 Uhr
Goto Top
Hallo mollotoff,
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:

Hier ein Beispiel für deine Beschreibung
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56')]]</Select>  
  </Query>
</QueryList>
EventID, LogonTypes und IP-Adresse natürlich anpassen. Jetzt sollte das Schema klar sein.

Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.

Grüße Uwe
heart1
mollotoff
mollotoff 26.07.2016 um 13:54:20 Uhr
Goto Top
Vielen Dank!

Wie kann ich da noch nach dem Benutzer suchen?
colinardo
Lösung colinardo 26.07.2016 aktualisiert um 14:00:24 Uhr
Goto Top
Zitat von @mollotoff:
Wie kann ich da noch nach dem Benutzer suchen?
Hast du dir mal die Event-Details auf der XML-Seite des Events überhaupt mal angesehen??
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56') and (Data[@Name = 'TargetUserName'] = 'MaxMustermann')]]</Select>  
  </Query>
</QueryList>
mollotoff
mollotoff 26.07.2016 um 14:01:39 Uhr
Goto Top
Perfekt, 1000 Dank!
gelöstFrageMicrosoftWindows Server
Mehr von mollotoffmollotoffDiverse Browserupdates per GPO erlaubenmollotoff - 1 KommentarmollotoffKennwort Komplexitätsvorraussetzungen abschwächen bzw ändernmollotoff - 13 KommentaremollotoffDesign bzw Skin für bestimmte Programme ändernmollotoff - 3 KommentaremollotoffLightning verschwindet in Thunderbirdmollotoff
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 18 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 Kommentare