Security日志筛选

来自三线的随记
Admin讨论 | 贡献2019年6月29日 (六) 01:27的版本
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)

在windows事件查看器中

XML过滤器

针对登录事件部分例子

有IPaddress的事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select>
   </Query>
 </QueryList>

普通网络登录事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select>
   </Query>
 </QueryList>

普通交互式登录事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select>
   </Query>
 </QueryList>