eisern
18.04.2024, aktualisiert um 10:14:09 Uhr
view698
view5
0
Goto Top

XML Suche Ereignisanzeige Windows Server

gelöstFrageWindows Server
Hallo,
ich bin leider nicht fähig mir eine eigene Suche in der Windows Server Ereignisanzeige zu basteln.

Ich suche nach den Daten EreignisID 4634 und einem TargetUserName Vorname.Nachname

Bisher habe ich den folgenden Ansatz, allerdings nur nach dem TargetUserName.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[EventData[Data[@Name='TargetUserName'] and (Data='Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Hier bekomme ich zwar den gewünschten Namen, aber nur für die EreignisID 4624, wobei diese ja gar nicht angegeben war? Die Daten scheinen nur aus den Daten "Neue Anmeldung" gezogen zu werden.

Dann habe ich nach diversen Suchen folgendes probiert, bekomme hier aber den Fehler "Die angegebene Abfrage ist ungültig"

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[System[(EventID=4634)] and Data[@Name = 'TargetUserName'] = 'Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Ich bekomme es also nicht hin und bitte um Unterstützung.

Vielen Dank!
Gruß, Tom
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 12123817465

Url: https://administrator.de/contentid/12123817465

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
12168552861
12168552861 18.04.2024 aktualisiert um 10:36:57 Uhr
Goto Top
Moin.
Du hast den EventData Knoten unterschlagen und eine Klammer zu viel
<QueryList>
  <Query Id="0" Path="Security">    
    <Select Path="Security">*[System[EventID=4634] and EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
XPath Syntax

Gruß
Eisern
Eisern 18.04.2024 um 10:37:02 Uhr
Goto Top
Hallo,
vielen Dank das funktioniert.
Wenn ich jetzt jedoch mal zum besseren Verständnis die ID rausnehmen will, würde ich das ja jetzt so verstehen. Hier erhalte ich aber wieder meinen Fehler "Die angegebene Abfrage ist ungültig"

Wo ist hier mein Fehler?

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">* EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
12168552861
Lösung 12168552861 18.04.2024 aktualisiert um 10:40:59 Uhr
Goto Top
Wo ist hier mein Fehler?
Eckige Klammer am Anfang vor "EventData" fehlt, einfach mal die Anzahl der einleitenden und schließenden Klammern zählen dann fällt es auch dir auf ...
Kaffee hol ☕.
Eisern
Eisern 18.04.2024 um 11:09:30 Uhr
Goto Top
Das hatte ich übersehen. Vielen Dank und lass Dir den Kaffee schmecken!
12168552861
12168552861 18.04.2024 um 11:10:55 Uhr
Goto Top
Tutto bene, grazie!
gelöstFrageWindows Server
Mehr von EisernEisernNetzwerkverbindung auf einmal ohne FunktionEisern - 10 KommentareEisernWLAN Bridge für ÜberwachungkamerasEisern - 6 KommentareEisernNeue Verkabelung in neuen RäumenEisern - 5 KommentareEisernFileserver VerschlüsselnEisern - 16 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare