Exemples de requête XPath
Utilisez des exemples XPath pour surveiller les événements et extraire les données d'identification de connexion, comme référence lorsque vous créez des requêtes XPath.
Pour plus d'informations sur les requêtes XPath, consultez la documentation Microsoft.
Exemple: Surveillance d'événements pour un utilisateur spécifique
Dans cet exemple, la requête extrait les événements de tous les journaux d'événements Windows pour l'utilisateur invité.
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
</Query>
</QueryList>.Exemple: Connexion de données d'identification pour Windows 2008
Dans cet exemple, la requête extrait des ID d'événement spécifiques du journal de sécurité pour les événements de niveau information qui sont associés à l'authentification de compte dans Windows 2008.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and
( (EventID >= 4776 and EventID <= 4777) )]]</Select>
</Query>
</QueryList>| division d"identification | Descriptif |
|---|---|
| 4776 | Le contrôleur de domaine a tenté de valider les données d'identification d'un compte. |
| 4777 | Le contrôleur de domaine n'est pas parvenu à valider les données d'identification d'un compte. |
Exemple: Extraction d'événements en fonction de l'utilisateur
Dans cet exemple, la requête examine les ID d'événement pour extraire des événements spécifiques pour un compte utilisateur créé sur un ordinateur fictif contenant une base de données de mots de passe utilisateur.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID >= 4722
and EventID <= 4726) or (EventID >= 4741 and EventID
<= 4743) )]]</Select>
</Query>
</QueryList>| division d"identification | Descriptif |
|---|---|
| 4720 | Un compte utilisateur a été créé. |
| 4722 | Un compte utilisateur a été activé. |
| 4723 | Une tentative de modification du mot de passe d'un compte a été effectuée. |
| 4724 | Une tentative de réinitialisation du mot de passe d'un compte a été effectuée. |
| 4725 | Un compte utilisateur a été désactivé. |
| 4726 | Un compte utilisateur a été supprimé. |
| 4741 | Un compte utilisateur a été créé. |
| 4742 | Un compte utilisateur a été modifié. |
| 4743 | Un compte utilisateur a été supprimé. |
Exemple: Extraction des journaux d'analyse DNS
Dans cet exemple, la requête extrait tous les événements capturés dans les journaux d'analyse DNS.
<QueryList>
<Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
<Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
</Query>
</QueryList>Exemple: Extraction d'événements avec Sysinternals Sysmon
Dans cet exemple, la requête extrait tous les événements capturés par SysInternals Sysmon.
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>