mosigra wiki

Инструменты пользователя

Инструменты сайта

Вы посетили:
filtr_zhurnala_sobytij_windows

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
filtr_zhurnala_sobytij_windows [14.11.2016 14:40] Валерийfiltr_zhurnala_sobytij_windows [14.11.2016 15:03] (текущий) Валерий
Строка 1: Строка 1:
 {{tag>windows}} {{tag>windows}}
  
-===Фильтр журнала событий Windows===+=====Фильтр журнала событий Windows=====
  
-на примере входов/выходов пользователей в терминал+на примере входов/выходов пользователей в терминал
 +будем искать входы выходы определенного пользователя Иванов Иван. 
 + 
 +Заходим в нужный журнал -> Фильтр текущего журнала -> Вкладка XML -> Изменить запрос в ручную -> Меняем запрос на свой
  
 входы выходы можно смотреть в двух журналах: входы выходы можно смотреть в двух журналах:
  
-=====1. Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational=====+===1. Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational===
  
   <QueryList>   <QueryList>
Строка 13: Строка 16:
       <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">       <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
         *[System[(EventID=22 or EventID=23)]] and         *[System[(EventID=22 or EventID=23)]] and
-        *[UserData[EventXML[(User='MI\Киселев Сергей')]]]+        *[UserData[EventXML[(User='Domen\Иванов Иван')]]]
       </Select>       </Select>
     </Query>     </Query>
Строка 20: Строка 23:
  
  
-=====2. Журналы Windows -> Безопасность=====+===2. Журналы Windows -> Безопасность===
  
   <QueryList>   <QueryList>
Строка 27: Строка 30:
         *[System[(EventID=4624 or EventID=4625)]] and         *[System[(EventID=4624 or EventID=4625)]] and
         *[EventData[Data[@Name='LogonType'] and Data=10]] and         *[EventData[Data[@Name='LogonType'] and Data=10]] and
-        *[EventData[Data[@Name='TargetUserName'] and Data='Киселев Сергей']]+        *[EventData[Data[@Name='TargetUserName'] and Data='Иванов Иван']]
       </Select>       </Select>
     </Query>     </Query>
   </QueryList>   </QueryList>
  
 +===Дополнительно===
 +==стандартные параметры фильтрации==
  
 +коды событий
 +<code>*[System[(EventID=4624 or EventID=4625)]]</code>
 +источник
 +<code>*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]]</code>
 +время события
 +<code>*[System[TimeCreated[@SystemTime&gt;='2016-11-14T10:00:00.000Z' and @SystemTime&lt;='2016-11-14T11:00:00.999Z']]]</code>
 +уровень события
 +<code>*[System[(Level=4 or Level=0)]]</code>
  
-  *[System[(EventID=4624 or EventID=4625)]] - коды событий +==другие параметры фильтрации== 
-  *[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]] - источник +все поля фильтрации можно найти открыв любое похожее на искомое событие на вкладке подробности в режиме XML
-  *[System[TimeCreated[@SystemTime&gt;='2016-11-14T10:00:00.000Z' and @SystemTime&lt;='2016-11-14T11:00:00.999Z']]] - время события +
-  *[System[(Level=4 or Level=0)]] - уровень события +
filtr_zhurnala_sobytij_windows.1479123624.txt.gz · Последнее изменение: Валерий

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki