Security日志筛选:修订间差异

来自三线的随记
可视化wikitext
(创建页面,内容为“在windows事件查看器中 XML过滤器 针对登录事件部分例子 有IPaddress的事件<blockquote><QueryList></blockquote><blockquote>  <Query Id="0" Pat…”)
 
无编辑摘要
 
第5行: 第5行:
针对登录事件部分例子
针对登录事件部分例子


有IPaddress的事件<blockquote><QueryList></blockquote><blockquote>  <Query Id="0" Path="Security"></blockquote><blockquote>    <nowiki><Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select></nowiki></blockquote><blockquote>  </Query></blockquote><blockquote></QueryList></blockquote>
有IPaddress的事件
<pre>
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select>
  </Query>
</QueryList>
</pre>


普通网络登录事件<blockquote><QueryList></blockquote><blockquote>  <Query Id="0" Path="Security"></blockquote><blockquote>    <nowiki><Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select></nowiki></blockquote><blockquote>  </Query></blockquote><blockquote></QueryList></blockquote>
普通网络登录事件
<pre>
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select>
  </Query>
</QueryList>
</pre>


普通交互式登录事件<blockquote><QueryList></blockquote><blockquote>  <Query Id="0" Path="Security"></blockquote><blockquote>    <nowiki><Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select></nowiki></blockquote><blockquote>  </Query></blockquote><blockquote></QueryList></blockquote>
普通交互式登录事件
<pre>
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select>
  </Query>
</QueryList>
</pre>


<blockquote></blockquote>
[[分类:Windows]]
[[分类:Windows]]

2019年6月29日 (六) 01:27的最新版本

在windows事件查看器中

XML过滤器

针对登录事件部分例子

有IPaddress的事件 

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='IpAddress']!='-' ]]</Select>
   </Query>
 </QueryList>

普通网络登录事件 

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 3]]</Select>
   </Query>
 </QueryList>

普通交互式登录事件 

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">* [EventData[Data[@Name='LogonType'] = 2]]</Select>
   </Query>
 </QueryList>
取自“https://wiki.sanxian.tech/index.php?title=Security日志筛选&oldid=502