locked
事件檢視裡面的XML要怎麼寫阿 RRS feed

  • 問題

  • 最近架設 win2008 R2的主機當作網路硬碟分享

    用途主要用來上課中,學生存取資料 上課作品用的

    但是目前設定的  檢視原則 只有 事件檢視碼5145,裡面的資料 一天就可以有上萬筆的資料

    最近看到 自訂檢視內容 裡面的 XML 可以藉由手動編輯查詢,只搜尋我要的資料

    我是要找 DELETE 刪除檔案的資訊

    只想看到 存取 是 DELETE的資料

    看了半天的XML碼 只確定是 AccessList ID 1537 問題我XML碼寫不出來

    請問有人可以跟我說怎麼寫的嗎

    目前看了很多文章 也只能寫到這樣

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">
    *[EventData[Data[@Name='SubjectUserName'] and (Data='stu')]]   
    and
    *[System[(EventID='5145')]]

    </Select>
      </Query>
    </QueryList>

    2015年1月6日 上午 05:06

解答

  • Hi 翼神龍

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[EventData[Data[@Name='AccessList'] and (Data='1537')]]</Select>
      </Query>
    </QueryList>

    您可以試看看用這個方式,或是改用AccessList的完整數值%%1537%%1541%%4423

    如果還是不行,請您上傳一份您的Log給我做測試


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 翼神龍 2016年11月7日 上午 07:00
    2015年1月7日 上午 05:02
  • Hi 翼神龍

    經過測試AccessList目前還沒有找到辦法可以將內容資料篩選出來,但是可以透過AccessMask這個代碼做篩選,也可以擷取出刪除的資料,同時篩選0x110080和0x10080,如果還有其他的代碼,可以使用or再新增其他條件即可。

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[EventData[Data[@Name='AccessMask'] and (Data='0x10080')]]
    or
    *[EventData[Data[@Name='AccessMask'] and (Data='0x110080')]]</Select>
      </Query>
    </QueryList>


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 翼神龍 2015年1月9日 下午 04:59
    2015年1月8日 上午 08:50

所有回覆

  • Hi 翼神龍

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[EventData[Data[@Name='AccessList'] and (Data='1537')]]</Select>
      </Query>
    </QueryList>

    您可以試看看用這個方式,或是改用AccessList的完整數值%%1537%%1541%%4423

    如果還是不行,請您上傳一份您的Log給我做測試


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 翼神龍 2016年11月7日 上午 07:00
    2015年1月7日 上午 05:02
  • <Select Path="Security">*[EventData[Data[@Name='AccessList'] and (Data='1537')]]</Select>

    看到這行,大概就知道問題出在哪


    不過 AccessList 的數值真的怪怪的

    設 1537 或 %%1537 %%1541 %%4423 也不行

    也跑去XML複製出來的也不行

    但是 改用

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">
    *[EventData[Data[@Name='RelativeTargetName']and (Data='五年級\508\11.sb')]]   
    and
    *[System[(EventID='5145')]]

    </Select>
      </Query>
    </QueryList>


    的確找出我要找的,被刪除檔案的資料是沒問題,找IP也OK

    但是 反而要用  AccessList 去找DELETE的資料就不行,連 DELETE都KEY近搜尋值內

    不知道我付的事件檔,有沒有辦法 可以解決 無法正確用 AccessList 去搜尋Delete的數值

    樓下是GOOGLE 空間的 匯出來的事件檔

    123..evtx 事件檔




    • 已編輯 翼神龍 2015年1月8日 上午 05:43
    2015年1月8日 上午 05:42
  • Hi 翼神龍

    經過測試AccessList目前還沒有找到辦法可以將內容資料篩選出來,但是可以透過AccessMask這個代碼做篩選,也可以擷取出刪除的資料,同時篩選0x110080和0x10080,如果還有其他的代碼,可以使用or再新增其他條件即可。

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[EventData[Data[@Name='AccessMask'] and (Data='0x10080')]]
    or
    *[EventData[Data[@Name='AccessMask'] and (Data='0x110080')]]</Select>
      </Query>
    </QueryList>


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 翼神龍 2015年1月9日 下午 04:59
    2015年1月8日 上午 08:50