Beispiele für XPath-Abfragen
Verwenden Sie XPath-Beispiele zum Überwachen von Ereignissen und Abrufen von Anmeldeberechtigungsnachweisen als Referenz, wenn Sie XPath-Abfragen erstellen.
Weitere Informationen zu XPath-Abfragen finden Sie in Ihrer Microsoft-Dokumentation.
Beispiel: Ereignisse für einen bestimmten Benutzer überwachen
In diesem Beispiel ruft die Abfrage Ereignisse aus allen Windows-Ereignisprotokollen für den Gastbenutzer ab.
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
</Query>
</QueryList>.Beispiel: Anmeldung mit Berechtigungsnachweisen für Windows 2008
In diesem Beispiel ruft die Abfrage bestimmte Ereignis-IDs aus dem Sicherheitsprotokoll für Ereignisse auf Informationsebene ab, die der Kontoauthentifizierung in Windows 2008 zugeordnet sind.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and
( (EventID >= 4776 and EventID <= 4777) )]]</Select>
</Query>
</QueryList>| ID | Beschreibung |
|---|---|
| 4776 | Der Domänencontroller hat versucht, Berechtigungsnachweise für einen Account zu validieren. |
| 4777 | Der Domänencontroller konnte die Berechtigungsnachweise für einen Account nicht validieren. |
Beispiel: Ereignisse basierend auf Benutzer abrufen
In diesem Beispiel untersucht die Abfrage Ereignis-IDs, um bestimmte Ereignisse für ein Benutzerkonto abzurufen, das auf einem fiktiven Computer erstellt wurde, der eine Benutzerkennwortdatenbank enthält.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID >= 4722
and EventID <= 4726) or (EventID >= 4741 and EventID
<= 4743) )]]</Select>
</Query>
</QueryList>| ID | Beschreibung |
|---|---|
| 4720 | Ein Benutzerkonto wurde erstellt. |
| 4722 | Ein Benutzerkonto wurde aktiviert. |
| 4723 | Es wurde versucht, das Kennwort eines Accounts zu ändern. |
| 4724 | Es wurde versucht, das Kennwort eines Accounts zurückzusetzen. |
| 4725 | Ein Benutzerkonto wurde inaktiviert. |
| 4726 | Ein Benutzerkonto wurde gelöscht. |
| 4741 | Ein Benutzerkonto wurde erstellt. |
| 4742 | Ein Benutzerkonto wurde geändert. |
| 4743 | Ein Benutzerkonto wurde gelöscht. |
Beispiel: DNS-Analyseprotokolle abrufen
In diesem Beispiel ruft die Abfrage alle Ereignisse ab, die in DNS-Analyseprotokollen erfasst werden.
<QueryList>
<Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
<Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
</Query>
</QueryList>Beispiel: Ereignisse mit Sysinternals Sysmon abrufen
In diesem Beispiel ruft die Abfrage alle Ereignisse ab, die von SysInternals Sysmon erfasst werden.
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>