Security日志筛选
来自三线的随记
在windows事件查看器中
XML过滤器
针对登录事件部分例子
有IPaddress的事件
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select> </Query> </QueryList>
普通网络登录事件
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select> </Query> </QueryList>
普通交互式登录事件
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select> </Query> </QueryList>
