我想在我的域上部署一个集中式日志分析工具。我目前正在配置 Windows 以审核共享网络驱动器(域用户的读取、写入、访问尝试),以将 Windows 事件转发到我的服务器。
由于 Windows 审计日志非常嘈杂(我的意思是事件 4663、4656(system32、C:\Windows、应用程序...)),基本过滤对我来说不够。理想情况下,我希望仅获取此文件夹(例如 C:\MyFolder)的事件,并具有自定义视图。
在查阅了一些文档之后,我没有看到任何有关“ObjectName”过滤的内容,而且我不太确定是否可行......
我尝试了这个语法和许多其他语法(通过用 \ 替换 \,通过命名单个文件而不是文件夹,“EventData ...”而不是 *[EventData ...] ...),但无论如何我无法在里面获取任何日志。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4663' or EventID='4656')]] //it works
and
*[EventData[Data[@Name='ObjectName']and(Data='C:\MyFolder*')]]
</Select>
</Query>
</QueryList>
然后,我不确定我是否可以使用“*”,我认为这应该是使用 XPath1.0 的唯一方法,因为它的功能确实有限。
你有好主意吗?