5
Ereignisanzeige genauer filtern
Hallo zusammen,
ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:
Kann mir jemand helfen?
Danke!
VG
ich möchte mir aus der Ereignisanzeige des DC bestimmte Ergebnisse anzeigen lassen, welche sich allerdings NICHT mit der Filterfunktion herausfiltern lassen. Nach den von mir benötigen Feldern Ereignis-ID und Kontoname (neue Anmeldung) kann ich suchen, benötige aber noch folgende Infos bzw Felder:
- Anmeldetyp: 2, 7, 9 oder 10
- Quellnetzwerkadresse
Kann mir jemand helfen?
Danke!
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 310879
Url: https://administrator.de/contentid/310879
Printed on: April 24, 2024 at 04:04 o'clock
5 Comments
Latest comment
Sure this is possible via the xml xpath filter language...
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!
Regards
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
This can be done the filter dialog too!!
Regards
1
Hallo mollotoff,
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:
Hier ein Beispiel für deine Beschreibung
EventID, LogonTypes und IP-Adresse natürlich anpassen. Jetzt sollte das Schema klar sein.
Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.
Grüße Uwe
wie @129813 schreibt, machst du das via XPath über den manuellen XML-Filter des Eventlogs:
Hier ein Beispiel für deine Beschreibung
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56')]]</Select>
</Query>
</QueryList>Mehr zum Filtern des Eventlogs habe ich hier auch schon in diversen anderen Beiträgen geschrieben, z.B hier:
Protokollierung gelöschter Dateien auf einem Fileserver.
Wie du dort siehst kannst du das Eventlog genau so gut auch mit Powershell filtern.
Grüße Uwe
1
Vielen Dank!
Wie kann ich da noch nach dem Benutzer suchen?
Wie kann ich da noch nach dem Benutzer suchen?
Hast du dir mal die Event-Details auf der XML-Seite des Events überhaupt mal angesehen??
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.
Dann hättest du die Eigenschaft TargetUserName gefunden. Filterung wie nach obigem Schema beschrieben.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)] and EventData[(Data[@Name='LogonType'] and (Data=2 or Data=7 or Data=9 or Data=10)) and (Data[@Name = 'IPAddress'] = '10.10.33.56') and (Data[@Name = 'TargetUserName'] = 'MaxMustermann')]]</Select>
</Query>
</QueryList>
Perfekt, 1000 Dank!
