51111111111Rating 5.00 (6 Votes)

На днях понадобилось определить в какое время в течении дня пользовтаель совершал вход на терминальный сервер, а так же совершал выход, данных за этот день было довольно много, несколько десятков тысяч и нужно было как то координально сделать фильтрацию, помогло создание XML фильтра.

В краце имеем:

  1. ID событий 4624 и 4634
  2. файл с выбранными всеми событиями за определенный период file.evtx
  3. имя пользователя

Осталось эти данне отфильтровать:

<QueryList>
  <Query Id="0" Path="file://D:\file.evtx">
    <Select Path="file://D:\file.evtx">
    *[System[(EventID=4624 or EventID=4634)]] and
    *[EventData[Data[@Name='TargetUserName'] and (Data='UserName')]]
    </Select>
  </Query>
</QueryList>

 

Добавить комментарий


Защитный код
Обновить

Сейчас 212 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз