Foro de elhacker.net

Programación => Programación General => Mensaje iniciado por: Nucleorion en 8 Octubre 2018, 15:18 pm


Título: Crear un filtro para ver las conexiones de un usuario en el visor de eventos
Publicado por: Nucleorion en 8 Octubre 2018, 15:18 pm
Hola,

Tengo este xml generado en el visor de eventos, quiero filtrar por el campo user dentro de UserData y quiero ver solo los apuntes de un usuario en concreto.

Código:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="{5D896912-022D-40AA-A3A8-4FA5515C76D7}" /> 
  <EventID>24</EventID> 
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x1000000000000000</Keywords> 
  <TimeCreated SystemTime="2018-10-05T11:45:56.876545400Z" /> 
  <EventRecordID>850</EventRecordID> 
  <Correlation ActivityID="{61A55000-55E5-1017-0000-000000000000}" /> 
  <Execution ProcessID="844" ThreadID="10276" /> 
  <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel> 
  <Computer>Salon</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <UserData>
- <EventXML xmlns="Event_NS">
  <User>EQUIPO\User1</User> 
  <SessionID>7</SessionID> 
  <Address>LOCAL</Address> 
  </EventXML>
  </UserData>
  </Event>

Filtro por el id de evento, eso lo ha generado el visor y va bien. Luego añado la linea de UserData. No doy con la forma adecuada de hacerlo siguiendo la poca documentacion que he encontrado. Cuando aplico este filtro no da error pero no aparece ninguna entrada, tampoco las del usuario User1.

Código:
<QueryList>
  <Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
    <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
*[System[(EventID=24 or EventID=21)]]
and
*[Event[UserData[EventXML[@xmlns='Event_NS'] and (User='EQUIPO\User1')]]]
</Select>
  </Query>
</QueryList>


Saco la informacion de
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/
y siguiendo los 3 enlaces de esa página pero no veo una situación en la que haya etiquetas dentro de una etiqueta con asignación como la de <EventXML xmlns="Event_NS">


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines