Ejemplos de consulta XPath

Utilice ejemplos de XPath para supervisar sucesos y recuperar credenciales de inicio de sesión, como referencia al crear consultas XPath.

Para obtener más información sobre las consultas XPath, consulte la documentación de Microsoft.

Nota: XPath sólo utiliza el protocolo de sucesos MSEVEN6 .

Ejemplo: Supervisión de sucesos para un usuario específico

En este ejemplo, la consulta recupera sucesos de todos los registros de sucesos de Windows para el usuario invitado.

Importante: Las consultas XPath no pueden filtrar sucesos reenviados de Windows.

<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>

</Query>
</QueryList>.

Ejemplo: Inicio de sesión de credencial para Windows 2008

En este ejemplo, la consulta recupera ID de suceso específicos del registro de seguridad para sucesos de nivel de información que están asociados con la autenticación de cuenta en Windows 2008.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and
( (EventID &gt;= 4776 and EventID &lt;= 4777) )]]</Select>
</Query>
</QueryList>

Tabla 1. ID de suceso utilizados en el ejemplo de inicio de sesión de credenciales
ID	Descripción
4776	El controlador de dominio ha intentado validar las credenciales de una cuenta.
4777	El controlador de dominio no ha podido validar las credenciales de una cuenta.

Ejemplo: Recuperación de sucesos basados en el usuario

En este ejemplo, la consulta examina los ID de suceso para recuperar sucesos específicos para una cuenta de usuario que se crea en un sistema ficticio que contiene una base de datos de contraseñas de usuario.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID &gt;= 4722
and EventID &lt;= 4726) or (EventID &gt;= 4741 and EventID
&lt;= 4743) )]]</Select>
</Query>
</QueryList>

Tabla 2. ID de suceso utilizados en el ejemplo de base de datos
ID	Descripción
4720	Se ha creado una cuenta de usuario.
4722	Se ha habilitado una cuenta de usuario.
4723	Se ha intentado cambiar la contraseña de una cuenta.
4724	Se ha intentado restablecer la contraseña de una cuenta.
4725	Se ha inhabilitado una cuenta de usuario.
4726	Se ha suprimido una cuenta de usuario.
4741	Se ha creado una cuenta de usuario.
4742	Se ha cambiado una cuenta de usuario.
4743	Se ha suprimido una cuenta de usuario.

Ejemplo: Recuperación de registros analíticos de DNS

En este ejemplo, la consulta recupera todos los sucesos capturados en los registros analíticos de DNS.

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
    <Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
  </Query>
</QueryList>

Ejemplo: Recuperación de sucesos con Sysinternals Sysmon

En este ejemplo, la consulta recupera todos los sucesos capturados por SysInternals Sysmon.

<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>