Remove From My Forums

Gespeicherte Ereignilogs per XML durchsuchen

Allgemeine Diskussion
0

Anmelden
Hallo zusammen,

momentan versuche ich lokal gespeicherte Ereignisanzeigen per XML zu durchsuchen.

Genauer möchte ich an einem per RDP freigegebenen Server alle Anmeldungen der User "admin" und "administrator" filtern.

Dies habe ich mit folgendem XML-Script versucht:

<QueryList>
<Query Id="0" Path="file://P:\Projekte 2013\Kunde\Ordner\Ereignis logs\Ereignislog.evtx">
    <Select Path="file://P:\Projekte 2013\Kunde\Ordner\Ereignis logs\Ereignislog.evtx">
   *[EventData[Data[@Name='TargetUserName'] and (Data='admin' or Data=’administrator’)]]
   </Select>
</Query>
</QueryList>

Nach bestätigen des XMLs tut sich jedoch in der Ereignisanzeige rein garnichts.

Es wird nicht gefiltert und auch sonst nichts gemacht.

Hat einer von euch eine Idee?

Versucht habe ich dies auf einem Windows Server 2012 64bit

Vielen Dank bereits vorab

Freundliche Grüße, DK2889
- Bearbeitet DK2889 Freitag, 12. Juli 2013 13:59 Schreibfehler
- Verschoben Raul TalmaciuMicrosoft contingent staff Montag, 15. Juli 2013 14:18 Server 2012 Frage
- Typ geändert Alex Pitulice Mittwoch, 17. Juli 2013 14:06 Warten auf Feedback
Freitag, 12. Juli 2013 13:59

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hallo,

die Syntax sieht perfekt aus.

Using custom XML to search Windows Event Viewer

Funktioniert es ohne “and (Data='admin' or Data=’administrator’)]]”?

Also nur mit

<Select Path="file://P:\Projekte 2013\Kunde\Ordner\Ereignis logs\Ereignislog.evtx">*</Select> ?

Wenn ja, dann liegt das Problem vermutlich an dem and (Data='admin' or Data=’administrator’ )]] Teil.

Gruss,

Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 16. Juli 2013 06:55

Antworten

|

Zitieren
0

Anmelden

Hallo DK,

ist dieser Thread noch aktuell? Bist Du hier inzwischen weitergekommen?

Gruss,
Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 23. Juli 2013 08:08

Antworten

|

Zitieren
0

Anmelden

Hallo Alex,

bitte entschuldige meine späte Antwort.

Leider bin ich hier noch nicht weiter.

Auch deine Idee aus der ersten Antwort funktionierte leider nicht.

Momentan ist das Thema ersteinmal aber nicht mehr wichtig.

Gruß, Daniel

Dienstag, 23. Juli 2013 10:08

Antworten

|

Zitieren