Назад | Перейти на главную страницу

Фильтрация журналов безопасности событий Windows по диапазону исходных IP-адресов

Итак, я знаю, что вы можете фильтровать по исходному IP-адресу. Но что, если вы хотите выполнить фильтрацию по диапазону исходных IP-адресов. Я попытался

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name ='LogonType']='3']] 
      and
      *[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.xxx")]]
   </Select>
  </Query>
</QueryList>

и

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name ='LogonType']='3']] 
      and
      *[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.*")]]
   </Select>
  </Query>
</QueryList>

Оба не работают = (

Похоже, на этот вопрос был дан ответ Вот. Короткий ответ: подстановочные знаки не поддерживаются в XPath 1.0, который используется при ведении журнала событий Windows. После экспорта событий вам придется снова выполнить фильтрацию. Предоставьте пример использования и, возможно, получите другие идеи для достижения вашей цели.