none
如何 在Windows2008 通过XPATH 筛选事件日志??? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票
    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2009/12/30 11:20:10
    事件 ID:         4648
    任务类别:          登录
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           APSCOSMAIL01.ghghdd.corp
    说明:
    试图使用显式凭据登录。

    主题:
            安全 ID:                SYSTEM
            帐户名:                APSCOSMAIL01$
            帐户域:                ghghdd
            登录 ID:                0x3e7
            登录 GUID:                {00000000-0000-0000-0000-000000000000}

    使用了哪个帐户的凭据:
            帐户名:                zhangsan
            帐户域:                ghghdd
            登录 GUID:                {00000000-0000-0000-0000-000000000000}

    目标服务器:
            目标服务器名:        localhost
            附加信息:        localhost

    进程信息:
            进程 ID:                0xac0
            进程名:                D:\Exchange Server\ClientAccess\PopImap\Microsoft.Exchange.Pop3.exe

    网络信息:
            网络地址:        -
            端口:                        -

    在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4648</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2009-12-30T03:20:10.479Z" />
        <EventRecordID>16761592</EventRecordID>
        <Correlation />
        <Execution ProcessID="596" ThreadID="956" />
        <Channel>Security</Channel>
        <Computer>APSCOSMAIL01.ghghdd.corp</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">APSCOSMAIL01$</Data>
        <Data Name="SubjectDomainName">ghghdd</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TargetUserName">zhangsan</Data>
        <Data Name="TargetDomainName">ghghdd</Data>
        <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TargetServerName">localhost</Data>
        <Data Name="TargetInfo">localhost</Data>
        <Data Name="ProcessId">0xac0</Data>
        <Data Name="ProcessName">D:\Exchange Server\ClientAccess\PopImap\Microsoft.Exchange.Pop3.exe</Data>
        <Data Name="IpAddress">-</Data>
        <Data Name="IpPort">-</Data>
      </EventData>
    </Event>

    以上是事件日志中的某个事件

    在事件日志中的筛选日志的功能不够多,想通过XML手动编辑查询事件日志。

    我现在想在 security 中查找 TargetUserName 为 zhangsan 的事件日志,XML语句该怎么写???

    以下是系统初始化的语句:

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*</Select>
      </Query>
    </QueryList>

    2011年11月7日 7:13
    |

答案