mollotoff
Goto Top

Ereignisanzeige genauer filtern

Hallo zusammen,

ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:

  • Anmeldetyp: 2, 7, 9 oder 10
  • Quellnetzwerkadresse

Kann mir jemand helfen?

Danke!

VG

Content-ID: 310879

Url: https://administrator.de/contentid/310879

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

129813
129813 26.07.2016 aktualisiert um 11:30:42 Uhr
Goto Top
Sure this is possible via the xml xpath filter language...
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!

Regards
colinardo
colinardo 26.07.2016 aktualisiert um 13:40:56 Uhr
Goto Top
Hallo mollotoff,
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:

Hier ein Beispiel für deine Beschreibung
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56')]]</Select>  
  </Query>
</QueryList>
EventID, LogonTypes und IP-Adresse natürlich anpassen. Jetzt sollte das Schema klar sein.

Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.

Grüße Uwe
mollotoff
mollotoff 26.07.2016 um 13:54:20 Uhr
Goto Top
Vielen Dank!

Wie kann ich da noch nach dem Benutzer suchen?
colinardo
Lösung colinardo 26.07.2016 aktualisiert um 14:00:24 Uhr
Goto Top
Zitat von @mollotoff:
Wie kann ich da noch nach dem Benutzer suchen?
Hast du dir mal die Event-Details auf der XML-Seite des Events überhaupt mal angesehen??
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56') and (Data[@Name = 'TargetUserName'] = 'MaxMustermann')]]</Select>  
  </Query>
</QueryList>
mollotoff
mollotoff 26.07.2016 um 14:01:39 Uhr
Goto Top
Perfekt, 1000 Dank!