所以我知道你可以通过源 IP 地址进行过滤。但是如果你想通过源 IP 地址范围进行过滤,该怎么办?我试过了
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)]]
and
*[EventData[Data[@Name ='LogonType']='3']]
and
*[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.xxx")]]
</Select>
</Query>
</QueryList>
和
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)]]
and
*[EventData[Data[@Name ='LogonType']='3']]
and
*[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.*")]]
</Select>
</Query>
</QueryList>
两者都不起作用=(
答案1
看起来这个问题已经得到解答了这里。简短的回答是,Windows 事件日志使用的 XPath 1.0 不支持通配符。您必须先导出事件后再次进行过滤。提供用例,也许可以获得一些实现目标的其他想法。