Tentando filtrar AccessList = %% 1537 no visualizador de eventos: /

Navegue suas respostas
1

Eu tenho a auditoria de arquivos ativada e gostaria de poder filtrar uma determinada ação do usuário. Eu configurei um filtro XML bem básico, mas parece que não consigo fazer funcionar. Eu tenho trabalhado com algumas categorias eventdata diferentes de AccessList como HandleId e SubjectUserName. 

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] 
  </Select> 
 </Query> 
</QueryList>

Estou tentando encontrar o seguinte: 

<Event>
 <EventData>
  <Data Name="AccessList">%%1537</Data>
 </EventData>
</Event>

Alguém pode oferecer alguma orientação?

    
por Justin 31.03.2015 / 20:05

1 resposta

2

Você precisa adicionar &#xD;&#xA;&#x09;&#x09;&#x09;&#x09; após %%1537

&#x09; - a guia

&#xA; - newline

&#xD; - retorno de carro 

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] 
  </Select> 
 </Query> 
</QueryList>

Referência: link

    
por 06.07.2015 / 11:42

Tags

O formato rápido do LUN no Servidor 2012 (R2) hospedado em um SAN vol. provisionado thin demora Conexão de link duplo direto SAS para um controlador LSI Fusion-MPT incorporado