Вопросы Теги

Неожиданные результаты XML запрашивают фильтр для журнала событий безопасности

При создании виртуального сетевого устройства (который Вы делаете на своих окнах PC), необходимо установить его MAC-адрес, чтобы отличаться от карты физической сети. Если они оба делают запросы DHCP, их нужно рассматривать как две различных машины, и каждому дают отдельные IP-адреса. Если Вы настраиваете свой сервер DHCP (на Вашей машине Linux) для резервирования IP-адресов или к них или к них обоих, то можно указать то, что обращается к каждому интерфейсу, получит.

В целом серверы DHCP не знают о физическом уровне, но сделанный запрос DHCP включает MAC-адрес интерфейса запроса. Поскольку это - поле в пакете, который добровольно предлагается протоколом DHCP, вместо того, чтобы быть автоматически присоединенным устройством физической сети, необходимо смочь получить эту работу просто путем создания виртуального сетевого устройства и установки его MAC-адреса (иногда называемый спуфингом MAC-адреса).

7
задан 18 July 2013 в 18:40
2 ответа

Попробуйте следующее: 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4608)]]</Select>
    <Suppress Path="Security">*[EventData[Data[@Name="TargetUserSid"] = "S-1-5-18"]]</Suppress>
  </Query>
</QueryList>
4
ответ дан 2 December 2019 в 23:46

Я наблюдал то же самое в ОС Windows 10 Desktop. Конкретный запрос, как показано ниже, вместо того, чтобы давать указанные события, приводит ко всем событиям создания процесса. Однако тот же запрос хорошо работает в ОС Server 2012. 

 <QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe'  or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
        and 
        *[System[(EventID=4688)]]
    </Select>
 </Query>
</QueryList>

Мое обходное решение - разделить значения атрибутов поиска, примерно так: 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        (*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']] 
         or
         *[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
         or
         *[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
        and 
        *[System[(EventID=4688)]]
    </Select>
  </Query>
</QueryList>
0
ответ дан 2 December 2019 в 23:46

Теги

Похожие вопросы