Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignisanzeige - Filter mit XML erstellen - Server 2008

Frage Microsoft Windows Server

Mitglied: maxschaf

maxschaf (Level 1) - Jetzt verbinden

28.08.2009, aktualisiert 18.10.2012, 8567 Aufrufe, 3 Kommentare

Hallo

ich bin gerade dabei bei einem Server 2008 die Ereignisanzeige so zu Filtern, dass man bequem alle Dateizugriffe der Nutzer überprüfen kann.
Nun erstelle ich gerade eigene XML Filter, da die vorhandene Maske zur Filtererstellung doch zu rudimentär ist.

Mein Problem:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1541")]]</Select> 
04.
  </Query> 
05.
</QueryList>
Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1541" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1541" nicht frisst. Ich vermute, dass es an den %% liegt.
Wie formuliert man diese Abfrage richtig in XPath ?

So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:

01.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
02.
- <System> 
03.
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />  
04.
  <EventID>4663</EventID>  
05.
  <Version>0</Version>  
06.
  <Level>0</Level>  
07.
  <Task>12800</Task>  
08.
  <Opcode>0</Opcode>  
09.
  <Keywords>0x8020000000000000</Keywords>  
10.
  <TimeCreated SystemTime="2009-08-28T20:56:13.122Z" />  
11.
  <EventRecordID>53144</EventRecordID>  
12.
  <Correlation />  
13.
  <Execution ProcessID="4" ThreadID="80" />  
14.
  <Channel>Security</Channel>  
15.
  <Computer>WIN-LRZHQKRRMKW</Computer>  
16.
  <Security />  
17.
  </System> 
18.
- <EventData> 
19.
  <Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data>  
20.
  <Data Name="SubjectUserName">test</Data>  
21.
  <Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data>  
22.
  <Data Name="SubjectLogonId">0x264f08</Data>  
23.
  <Data Name="ObjectServer">Security</Data>  
24.
  <Data Name="ObjectType">File</Data>  
25.
  <Data Name="ObjectName">C:\ftp\secops.exe</Data>  
26.
  <Data Name="HandleId">0x8f8</Data>  
27.
  <Data Name="AccessList">%%1537</Data>  
28.
  <Data Name="AccessMask">0x10000</Data>  
29.
  <Data Name="ProcessId">0x4</Data>  
30.
  <Data Name="ProcessName" />  
31.
  </EventData> 
32.
  </Event>
Danke für eure Mühen!
Mitglied: TheUntouchable
02.02.2010 um 12:47 Uhr
Leider gab es auf diesen Beitrag anscheinend keine Antwort.. Das selbe Problem hab ich nämlich im Moment auch! Ich würde gerne filtern wenn jemand Dateien auf einem Server löscht. Jedoch werden beim Auditing so viele Meldungen die nicht interessant sind ausgegeben und der normale Filter ist nich flexibel genug..

Wie müsste ich den XML Filter abändern um wirklich nur die Ereignisse zu bekommen wo etwas gelöscht wird?
Bitte warten ..
Mitglied: TheUntouchable
04.02.2010 um 12:41 Uhr
Dort wird leider nur auf das Benutzen des Log Parsers verwiesen, ich möchte jedoch keine externe Anwendung verwenden, die im Endeffekt nochmal eine Logdatei schreibt, sondern per XML eine Abfrage in der Windows Ereignissanzeige generieren.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Ereignisanzeige - Nach verschobenen Dateien filtern
Frage von SteckenWindows Server1 Kommentar

Hallo zusammen, Ich würde aus der Ereignisanzeige gerne rausfiltern, wenn Dateien verschoben worden sind. Beim Löschen geht das einfach ...

Windows Server
Ereignisanzeige genauer filtern
gelöst Frage von mollotoffWindows Server5 Kommentare

Hallo zusammen, ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit ...

XML
XML Ausgabe filtern
Frage von MasterBaiterXML1 Kommentar

Hallo zusammen, ich suche ein Möglichkeit schnell an paar Infos vom Server zu kommen. hilft mir schon sehr, jetzt ...

Entwicklung
Aus Dateien Strukturiert XMLs erstellen
gelöst Frage von MaxiamEntwicklung24 Kommentare

Schönen guten Morgen, ich bin neu also verzeiht Eventuelle ungenaue Fragestellungen ;) Ausgangssituation: ca. 1600 1Kb große Dateien die ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 2 StundenErkennung und -Abwehr

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...