Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > GOPAS TechEd 2014 - poznámky k přednášce o filtrování událostí
květen 21
GOPAS TechEd 2014 - poznámky k přednášce o filtrování událostí

Dneska (sakra, musím to stihnout ještě dopsat, aby to už nebylo včera :-)) jsem měl přednášku o filtrování událostí v logu. Výsledkem byly dva, ne úplně jednoduché, bloky kódu. Zde to je.

XPath filtr na události typu File Share od uživatelky daniela:

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12808 and (band(Keywords,9007199254740992)) and TimeCreated[timediff(@SystemTime) <= 43200000]] and EventData/Data[@Name='SubjectUserName']='daniela']

A druhá věc byl PowerShell skript na pěknou tabulečku počítač-share-uživatel-IP:

dsquery computer domainRoot -o rdn | % { $_.Trim('"') } | % {

gwmi -Computer $_ -Query 'SELECT ComputerName, InsertionStrings FROM Win32_NTLogEvent WHERE LogFile = "Security" AND EventCode = 5140' | Select ComputerName, InsertionStrings

}

Tak pokud to někomu na něco bude, budu jenom rád. Hezké sny. I mě. Právě jsem rozchodil konečny ty čipovky. Gemalto odešlo do věčných lovišť, ale Monet+ mě nezklamal. Tak zítra na přednášce o heslech to dokončíme.

A mimochodem, něco jako kombinace PowerShell a XPath pro události najdete například i zde.

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments