Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > GOPAS TechEd 2014 - poznámky k přednášce o filtrování událostí
květen 21
GOPAS TechEd 2014 - poznámky k přednášce o filtrování událostí

Dneska (sakra, musím to stihnout ještě dopsat, aby to už nebylo včera :-)) jsem měl přednášku o filtrování událostí v logu. Výsledkem byly dva, ne úplně jednoduché, bloky kódu. Zde to je.

XPath filtr na události typu File Share od uživatelky daniela:

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12808 and (band(Keywords,9007199254740992)) and TimeCreated[timediff(@SystemTime) <= 43200000]] and EventData/Data[@Name='SubjectUserName']='daniela']

A druhá věc byl PowerShell skript na pěknou tabulečku počítač-share-uživatel-IP:

dsquery computer domainRoot -o rdn | % { $_.Trim('"') } | % {

gwmi -Computer $_ -Query 'SELECT ComputerName, InsertionStrings FROM Win32_NTLogEvent WHERE LogFile = "Security" AND EventCode = 5140' | Select ComputerName, InsertionStrings

}

Tak pokud to někomu na něco bude, budu jenom rád. Hezké sny. I mě. Právě jsem rozchodil konečny ty čipovky. Gemalto odešlo do věčných lovišť, ale Monet+ mě nezklamal. Tak zítra na přednášce o heslech to dokončíme.

A mimochodem, něco jako kombinace PowerShell a XPath pro události najdete například i zde.

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments