Security日志筛选

来自三线的随记

在windows事件查看器中

XML过滤器

针对登录事件部分例子

有IPaddress的事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select>
   </Query>
 </QueryList>

普通网络登录事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select>
   </Query>
 </QueryList>

普通交互式登录事件

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select>
   </Query>
 </QueryList>