我想使用 Windows 文件审核来监控对我的系统上一组文件的访问(即事件 4663)。我注意到生成的大多数事件都是来自少数进程的噪音。我希望找到一种方法来有效地将这些进程列入黑名单,例如,如果文件访问来自本地 AV 进程,则不记录事件。似乎找不到有关配置此功能的任何文档,我开始担心这不是一个受支持的用例。
有人可以解释一下吗?
答案1
您可以在事件查看器中创建自定义视图:
右击自定义视图->创建自定义视图。
由于您想要过滤事件数据中的特定值,我们必须创建一个高级查询,因此单击“XML“选项卡并使用如下查询:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4663)]]</Select>
<Suppress Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\notepad.exe') ]]</Suppress>
</Query>
</QueryList>
请注意,我们有一个“选择”(用于选择安全日志中 EventID 为 4663 的所有内容)和一个“抑制”用于删除与过滤器匹配的事件。
现在,如果您的自定义视图与“抑制”过滤器不匹配,则它将列出 ID 为 4663 的事件。
您可以在此处了解有关自定义视图和高级过滤的更多信息: https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/