如何使用高级 XML 过滤来过滤 Windows 日志中的 ObjectName?

如何使用高级 XML 过滤来过滤 Windows 日志中的 ObjectName?

我想在我的域上部署一个集中式日志分析工具。我目前正在配置 Windows 以审核共享网络驱动器(域用户的读取、写入、访问尝试),以将 Windows 事件转发到我的服务器。

由于 Windows 审计日志非常嘈杂(我的意思是事件 4663、4656(system32、C:\Windows、应用程序...)),基本过滤对我来说不够。理想情况下,我希望仅获取此文件夹(例如 C:\MyFolder)的事件,并具有自定义视图。

在查阅了一些文档之后,我没有看到任何有关“ObjectName”过滤的内容,而且我不太确定是否可行......

我尝试了这个语法和许多其他语法(通过用 \ 替换 \,通过命名单个文件而不是文件夹,“EventData ...”而不是 *[EventData ...] ...),但无论如何我无法在里面获取任何日志。

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
       *[System[(EventID='4663' or EventID='4656')]] //it works
       and
       *[EventData[Data[@Name='ObjectName']and(Data='C:\MyFolder*')]]
     </Select>
  </Query>
</QueryList>

然后,我不确定我是否可以使用“*”,我认为这应该是使用 XPath1.0 的唯一方法,因为它的功能确实有限。

你有好主意吗?

相关内容