使用XPath 过滤 Windows 事件管理器

最新推荐文章于 2024-05-11 11:45:58 发布
最新推荐文章于 2024-05-11 11:45:58 发布
阅读量1.3k 收藏
点赞数 2
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34072662/article/details/107130410
版权

通常不借助第三方工具的话查看Windows事件管理器过滤一些事件的方法,有时间、按名称排序、事件ID等形式

但当事件过多,通过这些基本的方法就难以过滤出想看的日志信息,从上图可以看出有一个XML 格式的文本筛选框,下面我举个例子来看看这个XPath格式怎么编写(我不是程序员啊,可能写的很简单,都是搜索引擎学到的)

例子1:

大家都听说过windows 登录审计的功能吧,在组策略管理器-计算机配置-WINDOWS设置-安全设置-本地策略-审核策略-

这里我们开启一个审核域用户登录的设置,并且通过组策略管理发布出去

同步之后,域内计算机有使用域账户登陆时,会在域控上生成登录日志,登录失败的话会生成4771这个日志

但是如果公司规模人数上千人,想查找指定用户的登录失败信息,不可能筛选所有的4771事件进行查看,通过图形化的GUI筛选是无法达到这个效果,这时 就要借助XML格式筛选:

 

1.首选打开XML筛选的窗口,勾选手动编辑

我们先找一条类似的日志,看下字段名称

我们想过滤所有这个 user1 用户相关的日志,

 

干货区:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[EventData[Data[@Name='TargetUserName'] = 'User1']]
</Select>
  </Query>
</QueryList>

保存执行,就会筛选出所有与user1有关的日志条目

 

再举个例子,我们想查登录审核-指定用户的, 就要用事件ID4771和用户名进行过滤

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">

*[System[(EventID=4771)]]
*[EventData[Data[@Name='TargetUserName'] = 'User1']]
</Select>
  </Query>
</QueryList>

 

 

 

 

qq_13633927
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xpath实践代码总结
uestcyao的专栏
08-21 964
xpath依据条件解析抽取网页中的需要的数据的方法:使用的软件包,lxml其中的etree.HTML方法用于将格式化过的包含HTML数据的.xml文件处理成可供xpath正确处理的节点树, codecs这个软件包的功能不详!!, chilkat用于将html文件格式化成标准的xml文件(即标签的开关是严格对应的)。 xpath处理的最好是.xml后缀的文件,尝试了下html后缀的文件,即使内容完
Windows事件响应指南(下)
weixin_43200882的博客
10-26 1802
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。增强对在您的环境中的系统上运行的进程的可见性的另一个选择是实施 Sysmon,这是 Sysinternals 的一个免费实用程序,现在是 Microsoft 的一部分。Windows WFP 的事件描述是十分详细的,包括有关本地和远程 IP 和端口号以及所涉及的进程 ID 和进程名称的信息。
windows终端事件日志监控指南
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
Event事件
Hyperyou的博客
08-25 1063
Event事件 1什么是事件 事件是可以被JavaScript侦测到的行为。网页中的每个元素都可以产生某些可以触发JavaScript函数的事件。 1.1事件的绑定方式 格式:元素.on+事件名 = 事件处理程序,如div.onclick = function(){}。 1.2事件的类型 1.2.1鼠标事件 onclick 当用户点击某个对象时调用的事件。 ondblclick
2024年最新windows安全事件id汇总_电脑事件id大全(1),2024年最新不服不行
最新发布
2401_84297265的博客
05-11 881
4698 ----- 已创建计划任务4699 ----- 计划任务已删除4700 ----- 已启用计划任务4701 ----- 计划任务已禁用4702 ----- 计划任务已更新4703 ----- 令牌权已经调整4704 ----- 已分配用户权限4705 ----- 用户权限已被删除4706 ----- 为域创建了新的信任4707 ----- 已删除对域的信任4709 ----- IPsec服务已启动4710 ----- IPsec服务已禁用。
Windows日志筛选
weixin_34112900的博客
05-22 2600
Windows日志筛选 因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。 一、需求分析 存在问题 日志量巨大(每天约1G) 日志管理器查询日志不便 主要目标 启用文件系统审核 快捷查询用户的删除操作 解决方案 采用轮替方式归档日志(500MB) 日志存放60天(可用脚本删除超过期限日志档案) 使用Get-WinE...
xpath语法和指令系统
m0_60159709的博客
10-21 347
xpath数据解析及指令操作系统
RSS阅读(C#源码)
03-07
2. **解析XML**:加载XML内容到`XmlDocument`,然后使用XPath表达式或 LINQ to XML API 来查找和提取RSS元素。 3. **数据模型**:设计一个C#类(如`RssItem`),用于表示RSS条目,包含标题、链接、描述等属性。 4. *...
代码分析工具使用PMD
08-04
通过`Rule Designer`,你可以使用XPath来定义自己的检查规则,但需要对XPath和PMD的工作原理有一定了解。 6. **PMD规则对比**:相比于CheckStyle和FindBugs,PMD的自定义规则更灵活,允许用户使用XPath定义各种规则...
tongxunlu.rar_通讯录 wince
09-14
4. 查询与显示:使用XPath或 LINQ to XML 查询XML数据,根据用户需求筛选联系人,并在界面上展示。同时,为了提高用户体验,可能还实现了按姓名、电话等字段的排序和过滤功能。 5. 用户界面设计:在Wince环境下,UI...
Xpath筛选数据
05-11
利用requests模拟浏览打开智联招聘网址并爬取,利用Xpath技术对数据进行筛选
xpath介绍
m0_71494659的博客
06-22 5293
xpath是XML路径语言,它可以用来确定xml文档中的元素位置,通过元素路径来完成对元素的查找。HTML就是XML的一种实现方式,所以xpath是一种非常强大的定位方式。使用xpath需要在你的python里面安装lxml,操作方式:pip install lxml。
AD账号锁定查找锁定来源方法
weixin_34297300的博客
03-21 837
选择windows事件查看---windows日志----安全----筛选当前日志使用XML过滤语法查询,将默认的select语句替换成如下select语句,<QueryList><Query Id="0" Path="Security"><Select Path="Security">* [EventData[Data[@Name='...
Windows 日志高级筛选实践
weixin_33901926的博客
11-22 1241
背景经常需要查看日志,不仅是用来排错,有些时候我还需要监控系统来抓取特定日志来帮助减少我的工作负担,以及时监控到异常出现,并作出通知及响应,那么从大量日志中快速并精确筛选出想要的日志,并且精确提取信息,是一个必备的技能。我曾经用内置的事件查看筛选进行事件筛选,然后保存视图,或者使用powershell get-winevent 进行筛选,也使用logparser, 或者...
Xpath查找元素
yinshuilan的专栏
01-19 1685
  页面全是没有id或者name的,没有id或者没有text,或者text是一个不可控的值(或者叫会发生变化的值,就比如text字段为10元,可能这个10每次会变)     所以大多数元素定位都是用xpath-就是按路径定位包括一级或者多级路径。 1. 路径方式分两种,一种是绝对路径(以第一个标签为参照物),另一种是相对路径(以其他已知的标签为参照物),在定位的时候尽量采用相对路径的方式。...
关于syslog那些事
weixin_33712987的博客
11-26 261
一、syslog日志服务:1、守护进程:syslog2、端口:5143、配置文件:/etc/syslog.conf4、常见日志文件:/var/log/dmesg 内核引导信息日志/var/log/message 标准系统错误信息日志/var/log/maillog 邮件系统信息日志/var/log/cron 计划任务日志/var/log/s...
XPath超详细总结
热门推荐
qq_44619675的博客
02-22 1万+
XPath XPath,全称 XML Path Language,即 XML 路径语⾔,它是⼀⻔在 XML ⽂档中查找信息的语⾔。最初是⽤来搜寻 XML ⽂档的,但同样适⽤于 HTML ⽂档的搜索。所以在做爬⾍时完全可以使⽤ XPath做相应的信息抽取。 1、XPath概览 XPath 的选择功能⼗分强⼤,它提供了⾮常简洁明了的路径选择表达式。另外,它还提供了超过100 个内建函数,⽤于字符串、数值、时间的匹配以及节点、序列的处理等,⼏乎所有想要定位的节点都可以⽤ XPath 来选择。      官⽅⽂档:
Windows UI自动化测试的XPATH实现 - WPATH
weixin_33755554的博客
07-25 766
从事Windows 桌面应用自动化测试也有一些年了,现在谈这个话题并不流行。因为除了企业级应用,很少有公司会只选择Windows桌面作为目标用户平台,一般都会考虑跨平台的浏览解决方案,桌面应用的地位渐渐下降,这是事实。 当年初入测试行业时就被外包公司看上了,在微软的圈子里一待就是4年,时间真快。不得不说,一个大学刚毕业的毛头小子看到微软...
jmeter xpath提取使用
03-16
JMeter的XPath提取是一种用于从响应中提取数据的工具。它使用XPath语法来定位和提取特定的XML或HTML元素。使用XPath提取,您可以轻松地从响应中提取所需的数据,并将其用于后续测试步骤。 使用XPath提取,您需要指定要提取的元素的XPath表达式。您可以使用浏览的开发者工具来查找元素的XPath表达式。然后,您需要将XPath表达式输入到XPath提取的“XPath查询”字段中。 XPath提取还允许您指定要提取的元素的属性。例如,如果您要提取链接的URL,则可以指定“@href”属性。 一旦您指定了XPath表达式和属性,JMeter将在响应中查找匹配的元素,并将其值提取到变量中。您可以在后续测试步骤中使用这些变量。 总之,XPath提取是一种非常有用的工具,可以帮助您轻松地从响应中提取所需的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值