mollotoff
26.07.2016, aktualisiert um 16:18:49 Uhr
view23161
view5
0
Goto Top

Ereignisanzeige genauer filtern

gelöstFrageMicrosoftWindows Server
Hallo zusammen,

ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:

  • Anmeldetyp: 2, 7, 9 oder 10
  • Quellnetzwerkadresse

Kann mir jemand helfen?

Danke!

VG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 310879

Url: https://administrator.de/contentid/310879

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
129813
129813 26.07.2016 aktualisiert um 11:30:42 Uhr
Goto Top
Sure this is possible via the xml xpath filter language...
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!

Regards
heart1
colinardo
colinardo 26.07.2016 aktualisiert um 13:40:56 Uhr
Goto Top
Hallo mollotoff,
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:

Hier ein Beispiel für deine Beschreibung
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56')]]</Select>  
  </Query>
</QueryList>
EventID, LogonTypes und IP-Adresse natürlich anpassen. Jetzt sollte das Schema klar sein.

Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.

Grüße Uwe
heart1
mollotoff
mollotoff 26.07.2016 um 13:54:20 Uhr
Goto Top
Vielen Dank!

Wie kann ich da noch nach dem Benutzer suchen?
colinardo
Lösung colinardo 26.07.2016 aktualisiert um 14:00:24 Uhr
Goto Top
Zitat von @mollotoff:
Wie kann ich da noch nach dem Benutzer suchen?
Hast du dir mal die Event-Details auf der XML-Seite des Events überhaupt mal angesehen??
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56') and (Data[@Name = 'TargetUserName'] = 'MaxMustermann')]]</Select>  
  </Query>
</QueryList>
mollotoff
mollotoff 26.07.2016 um 14:01:39 Uhr
Goto Top
Perfekt, 1000 Dank!
gelöstFrageMicrosoftWindows Server
Mehr von mollotoffmollotoffDiverse Browserupdates per GPO erlaubenmollotoff - 1 KommentarmollotoffKennwort Komplexitätsvorraussetzungen abschwächen bzw ändernmollotoff - 13 KommentaremollotoffDesign bzw Skin für bestimmte Programme ändernmollotoff - 3 KommentaremollotoffLightning verschwindet in Thunderbirdmollotoff
Heiß diskutiert
Roland567VMware - Broadcom und neue PreiseRoland567 - 35 KommentareMysticFoxDESERVER 2025 - NIC-Performance - Per Default sehr "durchwachsen"MysticFoxDE - 33 Kommentareseppo1Switche KMUseppo1 - 27 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 25 KommentarekartoffelesserCable Diagnostics - Distance to fault 11,5 Meterkartoffelesser - 19 KommentareFohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 18 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareChurchOfTuxUmstieg von LANCOM Routern?ChurchOfTux - 16 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 15 KommentareraloreExchange Online geschützte Nachricht Problem mit Web.de oder GMXralore - 13 Kommentare