各位朋友,
我正在尝试为 Windows 事件日志查看器制作一个自定义 XML/Xpath 过滤器,以从安全日志的视图中排除无数的“SYSTEM”登录。在有关 XML 过滤的 Technet 博客:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624)]]
and
*[EventData[Data[@Name='TargetUserSid'] and (Data!='S-1-5-18')]]
</Select>
</Query>
</QueryList>
但出乎意料的是,我仍然在视图中看到类似这样的事件(当然还有其他事件):
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-07-18T15:12:55.797049800Z" />
<EventRecordID>199135861</EventRecordID>
<Correlation />
<Execution ProcessID="496" ThreadID="3028" />
<Channel>Security</Channel>
<Computer>SBS.domain.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SBS$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x684af79a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{9D5E970C-928D-E3FD-8D96-09044670F33E}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::cc18:cb50:1710:c2a7</Data>
<Data Name="IpPort">6413</Data>
</EventData>
</Event>
我不明白为什么 TargetUserSid 属性为 S-1-5-18 的事件被包含在视图中,而它不应该被包含在视图中。它反过来也一样 - 如果我将过滤器定义为*[EventData[Data[@Name='TargetUserSid'] and (Data='S-1-5-18')]],我会看到具有不同 TargetUserSid 的事件“漏网”。
从域对象中选择不同的(长)SID似乎可以按预期工作,并为我提供仅相应设置了TargetUserSid的事件视图。
我也尝试根据其他属性(如 TargetUserName)进行过滤,但只遇到了类似的问题。
非常感谢任何关于如何解决我的问题的提示或类似案例的实际示例。
答案1
尝试这个:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4608)]]</Select>
<Suppress Path="Security">*[EventData[Data[@Name="TargetUserSid"] = "S-1-5-18"]]</Suppress>
</Query>
</QueryList>
答案2
我在 Windows 10 桌面操作系统上也观察到了同样的情况。如下所示的特定查询不会给出指定的事件,而是导致所有进程创建事件。但是,相同的查询在 Server 2012 操作系统中运行良好。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe' or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
and
*[System[(EventID=4688)]]
</Select>
</Query>
</QueryList>
我的解决方法是分离搜索属性值,如下所示:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
(*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']]
or
*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
or
*[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
and
*[System[(EventID=4688)]]
</Select>
</Query>
</QueryList>