Вопросы Теги

Как я фильтрую Журнал безопасности с помощью XML для следующих данных

Один вопрос, который я имею. Почему Вы разрабатываете веб-приложение с Доступом?

Что касается хостинга asp.net я должен все же видеть любого, которые свободны, хотя это' не означает, что они не там.

Удачи!

1
задан 26 October 2010 в 21:11
2 ответа

Если Вы не против небольшого количества PowerShell, даете этому движение. Это отбросит файл CSV, с которым можно играть в Excel в текущем каталоге.

Get-EventLog Security -ComputerName RemotePC | ?{$_.Message -ilike '*StarCraft*'} | Export-Csv SecurityLog.csv

Можно также добавить дополнительные условия как так:

Get-EventLog Security -ComputerName RemotePC | ?{$_.Message -ilike '*StarCraft*' -or $_.Message -ilike '*Something Else*'} | Export-Csv SecurityLog.csv

0
ответ дан 4 December 2019 в 01:53
  • 1
    Используя первый бит кода, который Вы предоставили, я получаю пустой файл CSV. Я также попробовал Вашу вторую опцию, добавляющую "SC2" вместо "чего-то еще", что возвратило пустой файл CSV также. Если у Вас есть какие-либо другие идеи, сообщите мне. Я буду продолжать пробовать powershell, поскольку это - мой первый раз с помощью него, и я мог использовать практику. –  Bugat 27 October 2010 в 14:47
  • 2
    Это предлагает мне, поиск не возвращает результатов, потому что нет никаких записей того соответствия. При рассмотрении на средства просмотра события на машине оно определенно регистрирует эти события? Если Вы опускаете конец | Export-Csv SecurityLog.csv это отобразится на экране, который полезен видеть то, что Вы получаете (если что-либо). –  Ben Pilbrow 27 October 2010 в 14:59
  • 3
    я могу проверить, что он на самом деле регистрируется к средству просмотра события. Я должен был пойти один за другим для нахождения processid данных, которые являются, почему я решил искать более эффективный маршрут. Удаление части экспорта команды IS, выкладывающей результаты. Не уверенный, почему это не может записать им в файл все же. –  Bugat 28 October 2010 в 18:58
  • 4
    Как нечетный. У Вас было разрешение записать в папку, в которой была Ваша подсказка PowerShell? Значения по умолчанию шахты к C:/Users/Ben и я всегда cd Desktop только быть бесспорным. Возможно, попытайтесь выполнить PowerShell как администратора как тест? –  Ben Pilbrow 28 October 2010 в 20:01
  • 5
    я буду иметься верные полномочия и это генерировало securitylog.csv файл, сам файл быть пустым все же. Я даже перенаправляюсь его в другом месте как c:\SecurityLog.csv с тем же результатом. –  Bugat 28 October 2010 в 22:15

Выражения XPath Microsoft, кажется, не поддерживают фильтрацию на значениях с атрибутами. Вниз глубоко в XML контейнеризация похожа на это:

[EventID]
   [Data Name="NewProcessName"]"C:\Program Files (x86)\StarCraft II\StarCraft II.exe"[/Data]
[/EventID]

Проблема состоит в том, что выражения XPath Microsoft не могут указать равенство для значения того поля. Это может протестировать, существует, но равенство вне его.

Возможно, это может я не раскапывать его. Во всяком случае это может помочь:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="NewProcessName"]] and System[(EventID=4688)]]</Select>
</Query>
</QueryList>

1
ответ дан 4 December 2019 в 01:53
  • 1
    проблема, я продолжаю иметь использование этого формата то, что это всегда не возвращает результатов. Не уверенный, почему Вы не можете использовать фактическое имя процесса в запросе xml. –  Bugat 27 October 2010 в 14:36

Теги

Похожие вопросы