elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  Crear un filtro para ver las conexiones de un usuario en el visor de eventos		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Crear un filtro para ver las conexiones de un usuario en el visor de eventos  (Leído 2,201 veces)
Nucleorion

Desconectado Desconectado

Mensajes: 72


Ver Perfil
Crear un filtro para ver las conexiones de un usuario en el visor de eventos
« en: 8 Octubre 2018, 15:18 pm »
Hola,

Tengo este xml generado en el visor de eventos, quiero filtrar por el campo user dentro de UserData y quiero ver solo los apuntes de un usuario en concreto.

Código:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="{5D896912-022D-40AA-A3A8-4FA5515C76D7}" />
  <EventID>24</EventID>
  <Version>0</Version>
  <Level>4</Level>
  <Task>0</Task>
  <Opcode>0</Opcode>
  <Keywords>0x1000000000000000</Keywords>
  <TimeCreated SystemTime="2018-10-05T11:45:56.876545400Z" />
  <EventRecordID>850</EventRecordID>
  <Correlation ActivityID="{61A55000-55E5-1017-0000-000000000000}" />
  <Execution ProcessID="844" ThreadID="10276" />
  <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel>
  <Computer>Salon</Computer>
  <Security UserID="S-1-5-18" />
  </System>
- <UserData>
- <EventXML xmlns="Event_NS">
  <User>EQUIPO\User1</User>
  <SessionID>7</SessionID>
  <Address>LOCAL</Address>
  </EventXML>
  </UserData>
  </Event>

Filtro por el id de evento, eso lo ha generado el visor y va bien. Luego añado la linea de UserData. No doy con la forma adecuada de hacerlo siguiendo la poca documentacion que he encontrado. Cuando aplico este filtro no da error pero no aparece ninguna entrada, tampoco las del usuario User1.

Código:
<QueryList>
  <Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
    <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
*[System[(EventID=24 or EventID=21)]]
and
*[Event[UserData[EventXML[@xmlns='Event_NS'] and (User='EQUIPO\User1')]]]
</Select>
  </Query>
</QueryList>


Saco la informacion de
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/
y siguiendo los 3 enlaces de esa página pero no veo una situación en la que haya etiquetas dentro de una etiqueta con asignación como la de <EventXML xmlns="Event_NS">
« Última modificación: 10 Octubre 2018, 09:19 am por Nucleorion » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Modificar el visor de eventos en windows XP / Vista / Seven / 2003 / 2008.
Programación C/C++ 		APOKLIPTICO 3 3,104 Último mensaje 15 Junio 2012, 19:49 pm
por Eternal Idol
Visor de Eventos
Windows 		Argos91 4 3,252 Último mensaje 16 Diciembre 2015, 06:36 am
por Argos91
recuperar informacion de visor de eventos
Windows 		kacarlot 1 3,317 Último mensaje 21 Abril 2017, 04:57 am
por Randomize
Visor de eventos
Seguridad 		Meta 0 2,248 Último mensaje 8 Junio 2018, 06:00 am
por Meta
Errores en visor de eventos windows
Windows 		D@niel99 0 1,809 Último mensaje 1 Diciembre 2020, 17:23 pm
por D@niel99
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines