meridian-shaft Jump to content
Forums

Filtre observateur d'événements Windows - XML


Recommended Posts

Bonjour à tous,

Je cherche un moyen de créer un filtre pour l'observateur d'événements Windows afin de pouvoir observer sur un serveur gestionnaire de comptes AD, quels sont les comptes qui ont effectués une suppression de fichier/dossier.

Les options de base n'étant pas suffisantes je vais devoir me tourner vers une configuration via XML, mais j'ai besoin d'aide concernant les différentes balises et comment les utiliser, car l'ID de l'événement ne suffit pas, cela renvoie encore de trop nombreux rapports inutiles.

 

Merci d'avance,

 

Bonne journée

 

EDIT: Voilà à quoi ressemble le début du filtre XML

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (band(Keywords,9007199254740992)) and (EventID=4656)]]</Select>
  </Query>
</QueryList>

Edited by Fentonite
Link to comment

Bonjour, je vois que tu n'obtient pas de réponses, et moi non plus je n'ai pas de réponses !

Je pense que demander cette question sur un forum de Microsoft serait mieux puisque tu pourrais tomber sur un staff ou quelqu'un qui s'y connait encore mieux avec windows !

Désolé de ne pas pouvoir t'aider plus !

Link to comment
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...