Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignisanzeige - Filter mit XML erstellen - Server 2008

Frage Microsoft Windows Server

Mitglied: maxschaf

maxschaf (Level 1) - Jetzt verbinden

28.08.2009, aktualisiert 18.10.2012, 8441 Aufrufe, 3 Kommentare

Hallo

ich bin gerade dabei bei einem Server 2008 die Ereignisanzeige so zu Filtern, dass man bequem alle Dateizugriffe der Nutzer überprüfen kann.
Nun erstelle ich gerade eigene XML Filter, da die vorhandene Maske zur Filtererstellung doch zu rudimentär ist.

Mein Problem:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1541")]]</Select> 
04.
  </Query> 
05.
</QueryList>
Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1541" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1541" nicht frisst. Ich vermute, dass es an den %% liegt.
Wie formuliert man diese Abfrage richtig in XPath ?

So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:

01.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
02.
- <System> 
03.
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />  
04.
  <EventID>4663</EventID>  
05.
  <Version>0</Version>  
06.
  <Level>0</Level>  
07.
  <Task>12800</Task>  
08.
  <Opcode>0</Opcode>  
09.
  <Keywords>0x8020000000000000</Keywords>  
10.
  <TimeCreated SystemTime="2009-08-28T20:56:13.122Z" />  
11.
  <EventRecordID>53144</EventRecordID>  
12.
  <Correlation />  
13.
  <Execution ProcessID="4" ThreadID="80" />  
14.
  <Channel>Security</Channel>  
15.
  <Computer>WIN-LRZHQKRRMKW</Computer>  
16.
  <Security />  
17.
  </System> 
18.
- <EventData> 
19.
  <Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data>  
20.
  <Data Name="SubjectUserName">test</Data>  
21.
  <Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data>  
22.
  <Data Name="SubjectLogonId">0x264f08</Data>  
23.
  <Data Name="ObjectServer">Security</Data>  
24.
  <Data Name="ObjectType">File</Data>  
25.
  <Data Name="ObjectName">C:\ftp\secops.exe</Data>  
26.
  <Data Name="HandleId">0x8f8</Data>  
27.
  <Data Name="AccessList">%%1537</Data>  
28.
  <Data Name="AccessMask">0x10000</Data>  
29.
  <Data Name="ProcessId">0x4</Data>  
30.
  <Data Name="ProcessName" />  
31.
  </EventData> 
32.
  </Event>
Danke für eure Mühen!
Mitglied: TheUntouchable
02.02.2010 um 12:47 Uhr
Leider gab es auf diesen Beitrag anscheinend keine Antwort.. Das selbe Problem hab ich nämlich im Moment auch! Ich würde gerne filtern wenn jemand Dateien auf einem Server löscht. Jedoch werden beim Auditing so viele Meldungen die nicht interessant sind ausgegeben und der normale Filter ist nich flexibel genug..

Wie müsste ich den XML Filter abändern um wirklich nur die Ereignisse zu bekommen wo etwas gelöscht wird?
Bitte warten ..
Mitglied: TheUntouchable
04.02.2010 um 12:41 Uhr
Dort wird leider nur auf das Benutzen des Log Parsers verwiesen, ich möchte jedoch keine externe Anwendung verwenden, die im Endeffekt nochmal eine Logdatei schreibt, sondern per XML eine Abfrage in der Windows Ereignissanzeige generieren.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Ereignisanzeige - Nach verschobenen Dateien filtern (1)

Frage von Stecken zum Thema Windows Server ...

XML
XML Ausgabe filtern (1)

Frage von MasterBaiter zum Thema XML ...

Windows Server
Windows Bereitstellungsdienst und .xml-Datei erstellen (1)

Frage von 131275 zum Thema Windows Server ...

Windows Netzwerk
Windows Server 2008 R2 mit 2 DHCP, 1 MAC-Filter (11)

Frage von Nathenn zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Exchange Server

Mittels Batch-Script Exchange-Logs sammeln und archivieren

Anleitung von beidermachtvongreyscull zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS (24)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (20)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Netzwerke
Ip Adressenkonflikt bei Großfamilie (10)

Frage von gunter zum Thema Netzwerke ...