maxschaf
Aug 28, 2009, updated at Oct 18, 2012 (UTC)
view11414
view3
0
Goto Top

Ereignisanzeige - Filter mit XML erstellen - Server 2008

GermanQuestionWindows ServerMicrosoft
Hallo

ich bin gerade dabei bei einem Server 2008 die Ereignisanzeige so zu Filtern, dass man bequem alle Dateizugriffe der Nutzer überprüfen kann.
Nun erstelle ich gerade eigene XML Filter, da die vorhandene Maske zur Filtererstellung doch zu rudimentär ist.

Mein Problem:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1541")]]</Select>  
  </Query>
</QueryList>
Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1541" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1541" nicht frisst. Ich vermute, dass es an den %% liegt.
Wie formuliert man diese Abfrage richtig in XPath ?

So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />  
  <EventID>4663</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12800</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2009-08-28T20:56:13.122Z" />  
  <EventRecordID>53144</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="80" />  
  <Channel>Security</Channel> 
  <Computer>WIN-LRZHQKRRMKW</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data>  
  <Data Name="SubjectUserName">test</Data>  
  <Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data>  
  <Data Name="SubjectLogonId">0x264f08</Data>  
  <Data Name="ObjectServer">Security</Data>  
  <Data Name="ObjectType">File</Data>  
  <Data Name="ObjectName">C:\ftp\secops.exe</Data>  
  <Data Name="HandleId">0x8f8</Data>  
  <Data Name="AccessList">%%1537</Data>  
  <Data Name="AccessMask">0x10000</Data>  
  <Data Name="ProcessId">0x4</Data>  
  <Data Name="ProcessName" />  
  </EventData>
  </Event>

Danke für eure Mühen!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 123749

Url: https://administrator.de/contentid/123749

Printed on: April 18, 2024 at 18:04 o'clock

3 Comments
Latest comment
Goto Top
Member: TheUntouchable
TheUntouchable Feb 02, 2010 at 11:47:37 (UTC)
Goto Top
Leider gab es auf diesen Beitrag anscheinend keine Antwort.. Das selbe Problem hab ich nämlich im Moment auch! Ich würde gerne filtern wenn jemand Dateien auf einem Server löscht. Jedoch werden beim Auditing so viele Meldungen die nicht interessant sind ausgegeben und der normale Filter ist nich flexibel genug..

Wie müsste ich den XML Filter abändern um wirklich nur die Ereignisse zu bekommen wo etwas gelöscht wird?
Member: maxschaf
maxschaf Feb 02, 2010, updated at Oct 18, 2012 at 16:41:02 (UTC)
Goto Top
Ereignisanzeige - Überwachung Objektzugriffsversuche (Dateiaktivitäten) - übersichtlich dastellen? (server 2008)
Member: TheUntouchable
TheUntouchable Feb 04, 2010 at 11:41:58 (UTC)
Goto Top
Dort wird leider nur auf das Benutzen des Log Parsers verwiesen, ich möchte jedoch keine externe Anwendung verwenden, die im Endeffekt nochmal eine Logdatei schreibt, sondern per XML eine Abfrage in der Windows Ereignissanzeige generieren.
GermanQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker