Assassin 13 Geschrieben 28. Juli 2015 Melden Teilen Geschrieben 28. Juli 2015 Hallo allerseits, ist es irgendwie möglich, ein Security-Serverlog (.evtx) so zu filtern das man nach Kontonamen sortieren kann, bzw. nur nach einträgen sucht, wo dieser Kontoname hinterlegt ist? Grund: Wir wollen herrausfinden, wann sich welcher Benutzer das erste mal am Tag frühs eingeloggt hat, und wann er sich wieder ausgeloggt hat zum feierabend hin Die Standartfilter nützen mir recht wenig, da die ereigniss-ID immer die selbe ist Zitieren Link zu diesem Kommentar
Dominik Weber 19 Geschrieben 28. Juli 2015 Melden Teilen Geschrieben 28. Juli 2015 (bearbeitet) Einfach eine neue Ansicht erstellen und diese per XLM Filtern <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[EventData[Data[@Name=SubjectUserName] and (Data='Name des Users')]]</Select> </Query></QueryList> bearbeitet 28. Juli 2015 von Dominik Weber Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 28. Juli 2015 Autor Melden Teilen Geschrieben 28. Juli 2015 funktioniert leider nicht, meldet dann immer "der angegebene Kanal ist ungültig (15000)" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.