3.33333333333331111111111Rating 3.33 (3 Votes)
Задача фильтрации evtx усложнялась тем, что нужно выборку сделать при помощи Xpath Query. Для выборки событий из разных источников событий Event Viewer, обычно используется как бы простой запрос. Например нужно найти кто перезагружал компьютер, выбираем все нужные события примерно так:
<QueryList>
 <Query Id="0" Path="System">
    <Select Path="System">*[System[(EventID=1074)]]</Select>
 </Query>
</QueryList>
А теперь представим 100500 логов - Applications, Security, System, Setup, etc... Которые нужно скомбинировать в один, при этом исключив часть лишних, здесь можно поступить примерно так:
<QueryList>
 <Query Id="0" Path="Security">
    <Select Path="Security">*</Select>
 </Query>
 <Query Id="1" Path="Application">
    <Select Path="Application">*</Select>
 </Query>
 <Query Id="2" Path="Cisco AnyConnect Secure Mobility Client">
    <Select Path="Cisco AnyConnect Secure Mobility Client">*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]]</Select>
 </Query>
 <Query Id="3" Path="System">
    <Select Path="System">*</Select>
 </Query>
 <Query Id="4" Path="Setup">
    <Select Path="Setup">*</Select>
 </Query>
</QueryLis
А теперь представим, что нужно исключить из них например события типа - 5156 и 5158, оказалось вопрос можно решить при помощи Suppress секции в которую можно добавить нужный диапазон EventID:
...
<Select Path="Security">*</Select>
<Suppress Path="Security">*[System[( (EventID &gt;= 5156 and EventID &lt;= 5158) )]]</Suppress>
...
Если необходимо добавить отдельное событие, то его можно добавить так:
...
<Suppress Path="Security">*[System[( (EventID &gt;= 5152 and EventID &lt;= 5158) or EventID=6024)]]</Suppress>
...
Ура, едем дальше :)

Тестирование Evtx XML запроса

Теперь опробуем его создав кастомый вид с нужными нам логами:
 
filter evtx with xml query
 
Добавляем запросы:
 
filter evtx with xml query2
 
Сохраняем:
 
filter evtx with xml query3
 
Смотрим:
 
filter evtx with xml query4
 
Радуемся :)

Добавить комментарий


Обновить
Защитный код

Сейчас 265 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз