Ondrej Sevecek's Blog

Dneska (sakra, musím to stihnout ještě dopsat, aby to už nebylo včera :-)) jsem měl přednášku o filtrování událostí v logu. Výsledkem byly dva, ne úplně jednoduché, bloky kódu. Zde to je.

XPath filtr na události typu File Share od uživatelky daniela:

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12808 and (band(Keywords,9007199254740992)) and TimeCreated[timediff(@SystemTime) <= 43200000]] and EventData/Data[@Name='SubjectUserName']='daniela']

A druhá věc byl PowerShell skript na pěknou tabulečku počítač-share-uživatel-IP:

dsquery computer domainRoot -o rdn | % { $_.Trim('"') } | % {

gwmi -Computer $_ -Query 'SELECT ComputerName, InsertionStrings FROM Win32_NTLogEvent WHERE LogFile = "Security" AND EventCode = 5140' | Select ComputerName, InsertionStrings

}

Tak pokud to někomu na něco bude, budu jenom rád. Hezké sny. I mě. Právě jsem rozchodil konečny ty čipovky. Gemalto odešlo do věčných lovišť, ale Monet+ mě nezklamal. Tak zítra na přednášce o heslech to dokončíme.

A mimochodem, něco jako kombinace PowerShell a XPath pro události najdete například i zde.