Я хотел бы использовать Windows File Audit для отслеживания доступа к набору файлов в моей системе (например, событие 4663). Я заметил, что большинство генерируемых событий - это шум от нескольких процессов. Мне нужен способ эффективно занести эти процессы в черный список, например не регистрировать событие, если доступ к файлу был из локального AV-процесса. Кажется, не могу найти никакой документации по настройке этого, и я начинаю опасаться, что это не поддерживаемый вариант использования.
Кто-нибудь может пролить свет на это?
Вы можете создать собственное представление в средстве просмотра событий:
Щелкните правой кнопкой мыши на Пользовательские просмотры -> Создать собственный вид.
Поскольку вы хотите отфильтровать определенное значение в данных события, нам необходимо создать расширенный запрос, поэтому нажмите "XML"и используйте такой запрос:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4663)]]</Select>
<Suppress Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\notepad.exe') ]]</Suppress>
</Query>
</QueryList>
Обратите внимание, что у нас есть «Выбрать» (чтобы выбрать все с EventID 4663 в журнале безопасности) и «Подавить» для удаления событий, соответствующих фильтру.
Теперь в вашем пользовательском представлении будут перечислены события с идентификатором 4663, если они не соответствуют фильтру «Подавить».
Вы можете узнать больше о настраиваемых представлениях и расширенной фильтрации здесь: https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/