XPath の例
以下の例では、Windows イベント・ログからカスタマイズ・イベントを取得するために WinCollect 10 で使用できる XPath 照会について説明します。
DNS 分析ログの取得
この例の照会では、DNS 分析ログに収集されたすべてのイベントを取得します。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
<Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
</Query>
</QueryList>Sysinternals Sysmon イベントの取得
この例の照会では、Sysinternals Sysmon によって収集されたすべてのイベントを取得します。
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>特定のユーザーのイベントのモニター
この例では、照会はゲスト・ユーザーのすべての Windows イベント・ログからイベントを取得します。
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
</Query>
</QueryList>Windows 2008 の資格情報ログオン
この例では、照会は、Windows 2008 のアカウント認証に関連付けられている情報レベルのイベントについて、セキュリティー・ログから特定のイベント ID を取得します。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and ( (EventID >= 4776 and EventID <= 4777) )]]</Select>
</Query>
</QueryList>| イベント ID | 説明 |
|---|---|
| 4776 | ドメイン・コントローラーがアカウントの資格情報を検証しようとしました。 |
| 4777 | ドメイン・コントローラーがアカウントの資格情報の検証に失敗しました。 |
ユーザーに基づくイベントの取得
この例の照会では、イベント ID を検査して、ユーザー・パスワード・データベースが含まれる架空のコンピューター上で作成されたユーザー・アカウントに関する特定のイベントを取得します。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID >= 4722
and EventID <= 4726) or (EventID >= 4741 and EventID
<= 4743) )]]</Select>
</Query>
</QueryList>| イベント ID | 説明 |
|---|---|
| 4720 | ユーザー・アカウントが作成されました。 |
| 4722 | ユーザー・アカウントを有効にしました。 |
| 4723 | アカウントのパスワードを変更しようとしました。 |
| 4724 | アカウントのパスワードをリセットしようとしました。 |
| 4725 | ユーザー・アカウントを無効にしました。 |
| 4726 | ユーザー・アカウントが削除されました。 |
| 4741 | ユーザー・アカウントが作成されました。 |
| 4742 | ユーザー・アカウントが変更されました。 |
| 4743 | ユーザー・アカウントが削除されました。 |