XPath sorgusu örnekleri

XPath sorguları yarattığınızda bir başvuru olarak, olayları izlemek ve oturum açma kimlik bilgilerini almak için XPath örneklerini kullanın.

XPath sorgularına ilişkin ek bilgi edinmek için, Microsoft belgelerinize bakın.

Not: XPath yalnızca MSEVEN6 olay protokolünü kullanır.

Örnek: Belirli bir kullanıcıya ilişkin izleme olayları

Bu örnekte, sorgu, konuk kullanıcı için tüm Windows olay günlüklerinden olayları alır.

Önemli: XPath sorguları, Windows İletme Olaylarına süzgeç uygulamıyor.

<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>

</Query>
</QueryList>.

Örnek: Windows 2008 için kimlik bilgileri oturum açma bilgisi

Bu örnekte, sorgu, Windows 2008 'de hesap kimlik doğrulamasıyla ilişkili Bilgi düzeyi olaylar için güvenlik günlüğünden belirli olay tanıtıcılarını alır.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=4 or Level=0) and
( (EventID &gt;= 4776 and EventID &lt;= 4777) )]]</Select>
</Query>
</QueryList>

Tablo 1. Kimlik bilgileri oturum açma örneğinde kullanılan olay kimlikleri örneği
Tanıtıcı	Açıklama
4776	Etki alanı denetleyicisi, bir hesaba ilişkin kimlik bilgilerini doğrulamayı denedi.
4777	Etki alanı denetleyicisi, bir hesaba ilişkin kimlik bilgilerini doğrulayamadı.

Örnek: Kullanıcı temelinde olaylar alınıyor

Bu örnekte, sorgu, kullanıcı parolası veritabanı içeren kurgusal bir bilgisayarda oluşturulan bir kullanıcı hesabına ilişkin belirli olayları almak için olay tanıtıcılarını inceler.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID &gt;= 4722
and EventID &lt;= 4726) or (EventID &gt;= 4741 and EventID
&lt;= 4743) )]]</Select>
</Query>
</QueryList>

Tablo 2. Veritabanı örneğinde kullanılan olay tanıtıcıları
Tanıtıcı	Açıklama
4720	Bir kullanıcı hesabı oluşturuldu.
4722	Bir kullanıcı hesabı etkinleştirildi.
4723	Bir hesabın parolasını değiştirme girişiminde bulunuldu.
4724	Bir hesabın parolasını sıfırlamak için bir girişimde bulunuldu.
4725	Bir kullanıcı hesabı devre dışı bırakıldı.
4726	Bir kullanıcı hesabı silindi.
4741	Bir kullanıcı hesabı oluşturuldu.
4742	Bir kullanıcı hesabı değiştirildi.
4743	Bir kullanıcı hesabı silindi.

Örnek: DNS analitik günlüklerinin alınması

Bu örnekte, sorgu DNS analitik günlüklerinde yakalanan tüm olayları alır.

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
    <Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
  </Query>
</QueryList>

Örnek: Sysinternals Sysmoon ile olayların alınması

Bu örnekte, sorgu, SysInternals Sysmon tarafından yakalanan tüm olayları alır.

<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>