Új hozzászólás Aktív témák
-
bugizozi
őstag
Sziasztok!
Szeretném látni hogy a megosztott mappákban ki mikor mit törölt, ezért beállítottam az auditing-ot, jönnek is az event logban a 4663 azonosítójú sorok. Elemeztem aztán, ha jól sejtem, akkor a részleteknél az Event Data-n belül AccessList %%1537 érték jelzi azt, hogy ott bizony töröltek. Hogy tudom kiszűrni ezeket a törölt eseményeket?
Ez az alap szűrés a 4663 EventID-re
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4663)]]</Select>
</Query>
</QueryList>Én így próbálkoztam, de keves sikerrel:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4663)] and *[EventData[(AccessList=%%1537)]]</Select>
</Query>
</QueryList>Itt olvastam, hogy hasonlót próbálnak összehozni, de nálam nem akart működni az XML
Remélem valaki tud ebben segíteni!
Köszönöm!
szerk:
Itt a következő kóddal sikerült működésre bírni
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='%%1537
				')]]
and
*[System[(EventID='4663')]]
</Select>
</Query>
</QueryList>
Új hozzászólás Aktív témák
- Windows 10/11 Home/Pro , Office 2024 kulcsok
- Vírusirtó, Antivirus, VPN kulcsok GARANCIÁVAL!
- PC Game Pass előfizetés
- MEGA AKCIÓ! - Jogtiszta Windows - Office & Autodesk & CorelDRAW - Azonnal - Számlával - Garanciával
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Gaming PC! Ryzen 5700X / RTX 3070 / B550 / 32GB 2666Mhz / 512GB NVMe / 850w Gold! BeszámítOK
- 27% - NZXT Kraken 120 vízhűtés!
- Új Acer Nitro V15 FHD IPS 144Hz Ryzen7 7735HS 16GB DDR5 512GB SSD Nvidia RTX 4060 8GB Win11 Garancia
- BESZÁMÍTÁS! Lenovo Yoga Book 9 13IMU9 notebook - Ultra7 155U 32GB DDR5 1TB SSD Intel Graphics W11
- iKing.Hu - Apple iPhone 15 Plus 128GB Black használt szép állapot 90% akku 6 hónap garancia
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest