Windows Event Log - Event-ID 5136, Event 4662 filtern und benachrichtigen

Hallo,

wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)

Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...

blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...

vs.

netwrix.com/free_community_edition.html

Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?

Vielen Dank für eure Meinungen ...

LG

JoFla

Please also mark the comments that contributed to the solution of the article

Content-ID: 7163279927

Url: https://administrator.de/forum/windows-event-log-event-id-5136-event-4662-filtern-und-benachrichtigen-7163279927.html

Printed on: August 2, 2025 at 07:08 o'clock

3 Comments

Latest comment

Einfach mit deinem Filter einen Eventtrigger erstellen.

Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.

Bsp. Task mit Mail senden

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
	<RegistrationInfo />
	<Triggers>
		<EventTrigger>
			<Enabled>true</Enabled>
			<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Security"&gt;&lt;Select  
				Path="Security"&gt;*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=5136 or  
			EventID=4662)]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>
		</EventTrigger>
	</Triggers>
	<Principals>
		<Principal id="Author">  
			<UserId>S-1-5-18</UserId>
			<RunLevel>LeastPrivilege</RunLevel>
		</Principal>
	</Principals>
	<Settings>
		<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
		<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
		<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
		<AllowHardTerminate>true</AllowHardTerminate>
		<StartWhenAvailable>false</StartWhenAvailable>
		<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
		<IdleSettings>
			<Duration>PT10M</Duration>
			<WaitTimeout>PT1H</WaitTimeout>
			<StopOnIdleEnd>true</StopOnIdleEnd>
			<RestartOnIdle>false</RestartOnIdle>
		</IdleSettings>
		<AllowStartOnDemand>true</AllowStartOnDemand>
		<Enabled>true</Enabled>
		<Hidden>false</Hidden>
		<RunOnlyIfIdle>false</RunOnlyIfIdle>
		<WakeToRun>false</WakeToRun>
		<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
		<Priority>7</Priority>
	</Settings>
	<Actions Context="Author">  
		<Exec>
			<Command>powershell.exe</Command>
			<Arguments>-EP ByPass -C "Send-MailMessage -From 'user@domain.de' -to 'empfaenger@domain.de' -Subject 'Notification' -SmtpServer  
				smtp.domain.de -Credential (New-Object PSCredential('USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force)))  
			-UseSSL"</Arguments>  
		</Exec>
	</Actions>
</Task>

Habt ihr kein Monitoring-System? Eventlog-Events abfragen das kann heutzutage jedes Monitoring-System ...

Gruß

English? No, that's german.

I think you'd better move that thread.

Quote from @7010350221:

Einfach mit deinem Filter einen Eventtrigger erstellen.

Vielen Dank!

JoFla

GermansolvedQuestion Sicherheitstools

Hotly discussed

OpenThinClient - OpenSUSE VM HostSSDTech - 1 Comment

N-2 support call reducer is brokenDani