XPath Örnekleri

Aşağıdaki örneklerde, Windows olay günlüklerinden uyarlanmış olayları almak için WinCollect 10 'da kullanabileceğiniz XPath sorguları açıklanmaktadır.

DNS analitik günlüklerinin alınması

Bu örnekte, sorgu DNS analitik günlüklerinde yakalanan tüm olayları alır.

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical">
 <Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select>
 </Query>
</QueryList>

Sysinternals Sysmon olayları alınıyor

Bu örnekte, sorgu, SysInternals Sysmon tarafından yakalanan tüm olayları alır.

<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Belirli bir kullanıcıya ilişkin izleme olayları

Bu örnekte, sorgu, konuk kullanıcı için tüm Windows olay günlüklerinden olayları alır.

<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Security">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="Setup">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
<Select Path="System">*[System[(Level=4 or Level=0) and
Security[@UserID='S-1-5-21-3709697454-1862423022-1906558702-501
']]]</Select>
</Query>
</QueryList>

Windows 2008 için kimlik bilgisi oturumu açma

Bu örnekte, sorgu, Windows 2008 'de hesap kimlik doğrulamasıyla ilişkili Bilgi düzeyi olaylar için güvenlik günlüğünden belirli olay tanıtıcılarını alır.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(Level=4 or Level=0) and ( (EventID >= 4776 and EventID <= 4777) )]]</Select>
  </Query>
</QueryList>

Tablo 1. Kimlik bilgisi oturum açılışında kullanılan olay tanıtıcılarına ilişkin örnekler
Olay Tanıtıcısı	Açıklama
4776	Etki alanı denetleyicisi, bir hesaba ilişkin kimlik bilgilerini doğrulamayı denedi.
4777	Etki alanı denetleyicisi, bir hesaba ilişkin kimlik bilgilerini doğrulayamadı.

Kullanıcıya dayalı olaylar alınıyor

Bu örnekte, sorgu, kullanıcı parolası veritabanı içeren kurgusal bir bilgisayarda oluşturulan bir kullanıcı hesabına ilişkin belirli olayları almak için olay tanıtıcılarını inceler.

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Computer='Password_DB') and
(Level=4 or Level=0) and (EventID=4720 or (EventID >= 4722
and EventID <= 4726) or (EventID >= 4741 and EventID
<= 4743) )]]</Select>
</Query>
</QueryList>

Tablo 2. Kimlik bilgisi oturum açılışında kullanılan olay tanıtıcılarına ilişkin örnekler
Olay Tanıtıcısı	Açıklama
4720	Bir kullanıcı hesabı oluşturuldu.
4722	Bir kullanıcı hesabı etkinleştirildi.
4723	Bir hesabın parolasını değiştirme girişiminde bulunuldu.
4724	Bir hesabın parolasını sıfırlamak için bir girişimde bulunuldu.
4725	Bir kullanıcı hesabı devre dışı bırakıldı.
4726	Bir kullanıcı hesabı silindi.
4741	Bir kullanıcı hesabı oluşturuldu.
4742	Bir kullanıcı hesabı değiştirildi.
4743	Bir kullanıcı hesabı silindi.