eisern
18.04.2024, aktualisiert um 10:14:09 Uhr
view714
view5
0
Goto Top

XML Suche Ereignisanzeige Windows Server

gelöstFrageWindows Server
Hallo,
ich bin leider nicht fähig mir eine eigene Suche in der Windows Server Ereignisanzeige zu basteln.

Ich suche nach den Daten EreignisID 4634 und einem TargetUserName Vorname.Nachname

Bisher habe ich den folgenden Ansatz, allerdings nur nach dem TargetUserName.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[EventData[Data[@Name='TargetUserName'] and (Data='Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Hier bekomme ich zwar den gewünschten Namen, aber nur für die EreignisID 4624, wobei diese ja gar nicht angegeben war? Die Daten scheinen nur aus den Daten "Neue Anmeldung" gezogen zu werden.

Dann habe ich nach diversen Suchen folgendes probiert, bekomme hier aber den Fehler "Die angegebene Abfrage ist ungültig"

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[System[(EventID=4634)] and Data[@Name = 'TargetUserName'] = 'Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Ich bekomme es also nicht hin und bitte um Unterstützung.

Vielen Dank!
Gruß, Tom
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 12123817465

Url: https://administrator.de/forum/xml-suche-ereignisanzeige-windows-server-12123817465.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
12168552861
12168552861 18.04.2024 aktualisiert um 10:36:57 Uhr
Goto Top
Moin.
Du hast den EventData Knoten unterschlagen und eine Klammer zu viel
<QueryList>
  <Query Id="0" Path="Security">    
    <Select Path="Security">*[System[EventID=4634] and EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
XPath Syntax

Gruß
Eisern
Eisern 18.04.2024 um 10:37:02 Uhr
Goto Top
Hallo,
vielen Dank das funktioniert.
Wenn ich jetzt jedoch mal zum besseren Verständnis die ID rausnehmen will, würde ich das ja jetzt so verstehen. Hier erhalte ich aber wieder meinen Fehler "Die angegebene Abfrage ist ungültig"

Wo ist hier mein Fehler?

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">* EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
12168552861
Lösung 12168552861 18.04.2024 aktualisiert um 10:40:59 Uhr
Goto Top
Wo ist hier mein Fehler?
Eckige Klammer am Anfang vor "EventData" fehlt, einfach mal die Anzahl der einleitenden und schließenden Klammern zählen dann fällt es auch dir auf ...
Kaffee hol ☕.
Eisern
Eisern 18.04.2024 um 11:09:30 Uhr
Goto Top
Das hatte ich übersehen. Vielen Dank und lass Dir den Kaffee schmecken!
12168552861
12168552861 18.04.2024 um 11:10:55 Uhr
Goto Top
Tutto bene, grazie!
gelöstFrageWindows Server
Mehr von EisernEisernNetzwerkverbindung auf einmal ohne FunktionEisern - 10 KommentareEisernWLAN Bridge für ÜberwachungkamerasEisern - 6 KommentareEisernNeue Verkabelung in neuen RäumenEisern - 5 KommentareEisernFileserver VerschlüsselnEisern - 16 Kommentare
Heiß diskutiert
NullcheckPortweiterleitung ist böse. tatsächlich? (Externzugriff auf Fritzbox)Nullcheck - 36 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 24 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 KommentareGhent74Zwei Router, ein SubnetzGhent74 - 13 Kommentare