Hirdetés

  2. Fórumok
  3. OS, alkalmazások
  4. Windows Server 2008

Új hozzászólás Aktív témák

  • #2926 bugizozi őstag
    Új Válasz #2926
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bugizozi

    őstag

    Sziasztok!

    Szeretném látni hogy a megosztott mappákban ki mikor mit törölt, ezért beállítottam az auditing-ot, jönnek is az event logban a 4663 azonosítójú sorok. Elemeztem aztán, ha jól sejtem, akkor a részleteknél az Event Data-n belül AccessList %%1537 érték jelzi azt, hogy ott bizony töröltek. Hogy tudom kiszűrni ezeket a törölt eseményeket?

    Ez az alap szűrés a 4663 EventID-re

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4663)]]</Select>
    </Query>
    </QueryList>

    Én így próbálkoztam, de keves sikerrel:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4663)] and *[EventData[(AccessList=%%1537)]]</Select>
    </Query>
    </QueryList>

    Itt olvastam, hogy hasonlót próbálnak összehozni, de nálam nem akart működni az XML :(

    Remélem valaki tud ebben segíteni!

    Köszönöm! :R

    szerk:

    Itt a következő kóddal sikerült működésre bírni :W :C

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">
    *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]]
    and
    *[System[(EventID='4663')]]
    </Select>
    </Query>
    </QueryList>

Új hozzászólás Aktív témák

Hirdetés