Fentonite Posted June 30, 2021 Posted June 30, 2021 (edited) Bonjour à tous, Je cherche un moyen de créer un filtre pour l'observateur d'événements Windows afin de pouvoir observer sur un serveur gestionnaire de comptes AD, quels sont les comptes qui ont effectués une suppression de fichier/dossier. Les options de base n'étant pas suffisantes je vais devoir me tourner vers une configuration via XML, mais j'ai besoin d'aide concernant les différentes balises et comment les utiliser, car l'ID de l'événement ne suffit pas, cela renvoie encore de trop nombreux rapports inutiles. Merci d'avance, Bonne journée EDIT: Voilà à quoi ressemble le début du filtre XML <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (band(Keywords,9007199254740992)) and (EventID=4656)]]</Select> </Query> </QueryList> Edited June 30, 2021 by Fentonite
Legendary Posted July 4, 2021 Posted July 4, 2021 Bonjour, je vois que tu n'obtient pas de réponses, et moi non plus je n'ai pas de réponses ! Je pense que demander cette question sur un forum de Microsoft serait mieux puisque tu pourrais tomber sur un staff ou quelqu'un qui s'y connait encore mieux avec windows ! Désolé de ne pas pouvoir t'aider plus !
Recommended Posts