XPath 照会の例
XPath 照会を作成する際の参照として、XPath でイベントをモニターする例、およびログオン資格情報を取得する例を使用してください。
XPath 照会について詳しくは、Microsoft の資料を参照してください。
注: XPath は、 MSEVEN6 イベント・プロトコルのみを使用します。
例: 特定のユーザーに関するイベントのモニター
この例では、照会により、ゲスト・ユーザーのすべての Windows イベント・ログからイベントが取得されます。
重要: XPath 照会では、Windows 転送イベントをフィルターに掛けることはできません。
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
</Query>
</QueryList>.例: Windows 2008 の資格情報ログオン
この例では、Windows 2008 でのアカウント認証に関連付けられている情報レベルのイベントについて、照会によってセキュリティー・ログから特定のイベント ID が取得されます。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and
( (EventID >= 4776 and EventID <= 4777) )]]</Select>
</Query>
</QueryList>| ID | 説明 |
|---|---|
| 4776 | ドメイン・コントローラーがアカウントの資格情報を検証しようとしました。 |
| 4777 | ドメイン・コントローラーがアカウントの資格情報の検証に失敗しました。 |
例: ユーザーに基づくイベントの取得
この例の照会では、イベント ID を検査して、ユーザー・パスワード・データベースが含まれる架空のコンピューター上で作成されたユーザー・アカウントに関する特定のイベントを取得します。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID >= 4722
and EventID <= 4726) or (EventID >= 4741 and EventID
<= 4743) )]]</Select>
</Query>
</QueryList>| ID | 説明 |
|---|---|
| 4720 | ユーザー・アカウントが作成されました。 |
| 4722 | ユーザー・アカウントを有効にしました。 |
| 4723 | アカウントのパスワードを変更しようとしました。 |
| 4724 | アカウントのパスワードをリセットしようとしました。 |
| 4725 | ユーザー・アカウントを無効にしました。 |
| 4726 | ユーザー・アカウントが削除されました。 |
| 4741 | ユーザー・アカウントが作成されました。 |
| 4742 | ユーザー・アカウントが変更されました。 |
| 4743 | ユーザー・アカウントが削除されました。 |
例: DNS 分析ログの取得
この例の照会では、DNS 分析ログに収集されたすべてのイベントを取得します。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
<Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
</Query>
</QueryList>例: Sysinternals Sysmon を使用したイベントの取得
この例の照会では、Sysinternals Sysmon によって収集されたすべてのイベントを取得します。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>