Я хочу развернуть централизованный инструмент анализа журналов в своем домене. В настоящее время я настраиваю Windows для аудита общего сетевого диска (чтение, запись, попытки доступа пользователей домена) для пересылки событий Windows на мой сервер.
Поскольку журналы аудита Windows ДЕЙСТВИТЕЛЬНО ШУМНЫЕ (я имею в виду события 4663,4656 (system32, C: \ Windows, applications ...)), базовой фильтрации мне недостаточно. В идеале я хотел бы получать только события этой папки, например C: \ MyFolder, с настраиваемым представлением.
После проверки документации я ничего не увидел о фильтрации "ObjectName", и я не совсем уверен, что это возможно ...
Я пробовал этот синтаксис и многие другие (заменив \ на \, назвав один файл вместо папки "EventData ..." вместо * [EventData ...] ...), но в любом случае я не могу получить какие-либо журналы внутри.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4663' or EventID='4656')]] //it works
and
*[EventData[Data[@Name='ObjectName']and(Data='C:\MyFolder*')]]
</Select>
</Query>
</QueryList>
Тогда я не уверен, что могу использовать '*', я подумал, что это должен быть единственный способ сделать это с XPath1.0, поскольку он действительно ограничен функциями.
У тебя есть идея?