Security日志筛选

来自三线的随记
Admin讨论 | 贡献2019年6月29日 (六) 01:24的版本 (创建页面,内容为“在windows事件查看器中 XML过滤器 针对登录事件部分例子 有IPaddress的事件<blockquote><QueryList></blockquote><blockquote>  <Query Id="0" Pat…”)
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)

在windows事件查看器中

XML过滤器

针对登录事件部分例子

有IPaddress的事件

<QueryList>

  <Query Id="0" Path="Security">

    <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select>

  </Query>

</QueryList>

普通网络登录事件

<QueryList>

  <Query Id="0" Path="Security">

    <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select>

  </Query>

</QueryList>

普通交互式登录事件

<QueryList>

  <Query Id="0" Path="Security">

    <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select>

  </Query>

</QueryList>

取自“https://wiki.sanxian.tech/index.php?title=Security日志筛选&oldid=501