![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Windows event viewer advanced filtering
Jul. 13th, 2012 11:15 amОтличная статья про точный фильтеринг событий виндовс, начиная с Виста:
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx
Например, оч. удобно использовать для трэкинга входов на сервер удалённых рабочих столов пипла с учётными данными, нуждающимися в контроле. По факту входа определённого юзера или группы юзеров соврешать какие-либо действия через таск шедулер. Типовой запрос к евентлогу:
<select ... >
*[EventData[Data[@Name='SubjectUserName'] and (Data='sav')]]
and
*[System[(EventID='4624' or eventid='4648' or eventid='4625')]]
</select>
А действия например сформировать мессагу электропочты, просто попап мессагу, запустить скриптег ну и так далее.
Что не понравилось: не смог найти способа через GUI передавать выдачу евентвьюера в выполняемое задание, но не очень-то было надо. Если очень надо -- наверняка это можно сделать адвансед скриптингом через wevtutil или повершеллом.
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx
Например, оч. удобно использовать для трэкинга входов на сервер удалённых рабочих столов пипла с учётными данными, нуждающимися в контроле. По факту входа определённого юзера или группы юзеров соврешать какие-либо действия через таск шедулер. Типовой запрос к евентлогу:
<select ... >
*[EventData[Data[@Name='SubjectUserName'] and (Data='sav')]]
and
*[System[(EventID='4624' or eventid='4648' or eventid='4625')]]
</select>
А действия например сформировать мессагу электропочты, просто попап мессагу, запустить скриптег ну и так далее.
Что не понравилось: не смог найти способа через GUI передавать выдачу евентвьюера в выполняемое задание, но не очень-то было надо. Если очень надо -- наверняка это можно сделать адвансед скриптингом через wevtutil или повершеллом.
