Mọi người,
Tôi đang cố gắng tạo bộ lọc XML / Xpath tùy chỉnh cho trình xem Nhật ký sự kiện Windows để loại trừ vô số Đăng nhập "HỆ THỐNG" khỏi chế độ xem nhật ký bảo mật. Tôi đã xoay sở để đạt được điều này với sự trợ giúp của blog Technet về lọc XML :
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624)]]
and
*[EventData[Data[@Name='TargetUserSid'] and (Data!='S-1-5-18')]]
</Select>
</Query>
</QueryList>
Nhưng trái với tất cả các kỳ vọng, tôi vẫn có các sự kiện như thế này (trong số những người khác, tất nhiên) trong quan điểm:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-07-18T15:12:55.797049800Z" />
<EventRecordID>199135861</EventRecordID>
<Correlation />
<Execution ProcessID="496" ThreadID="3028" />
<Channel>Security</Channel>
<Computer>SBS.domain.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SBS$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x684af79a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{9D5E970C-928D-E3FD-8D96-09044670F33E}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::cc18:cb50:1710:c2a7</Data>
<Data Name="IpPort">6413</Data>
</EventData>
</Event>
Tôi gặp khó khăn khi hiểu tại sao một sự kiện có thuộc tính TargetUserSid của S-1-5-18 lại được đưa vào chế độ xem trong khi không nên. Nó cũng hoạt động theo hướng khác - nếu tôi xác định bộ lọc là *[EventData[Data[@Name='TargetUserSid'] and (Data='S-1-5-18')]], tôi thấy các sự kiện có TargetUserSid khác "trượt qua".
Việc tạo một SID (dài) khác nhau từ một đối tượng miền dường như hoạt động như mong đợi và cho tôi một cái nhìn với các sự kiện chỉ có TargetUserSid được đặt.
Tôi cũng đã thử lọc các thuộc tính khác như TargetUserName, nhưng chỉ gặp phải vấn đề tương tự.
Bất kỳ gợi ý nào về cách sửa truy vấn của tôi hoặc ví dụ hoạt động của các trường hợp tương tự đều được đánh giá cao.