Filtre observateur d'événements Windows - XML

[Fentonite]

Bonjour à tous,

Je cherche un moyen de créer un filtre pour l'observateur d'événements Windows afin de pouvoir observer sur un serveur gestionnaire de comptes AD, quels sont les comptes qui ont effectués une suppression de fichier/dossier.

Les options de base n'étant pas suffisantes je vais devoir me tourner vers une configuration via XML, mais j'ai besoin d'aide concernant les différentes balises et comment les utiliser, car l'ID de l'événement ne suffit pas, cela renvoie encore de trop nombreux rapports inutiles.

 

Merci d'avance,

 

Bonne journée

 

EDIT: Voilà à quoi ressemble le début du filtre XML

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (band(Keywords,9007199254740992)) and (EventID=4656)]]</Select>
  </Query>
</QueryList>

Modifié le 30 juin 2021 par Fentonite

[Legendary]

Bonjour, je vois que tu n'obtient pas de réponses, et moi non plus je n'ai pas de réponses !

Je pense que demander cette question sur un forum de Microsoft serait mieux puisque tu pourrais tomber sur un staff ou quelqu'un qui s'y connait encore mieux avec windows !

Désolé de ne pas pouvoir t'aider plus !