Filtrer les journaux

De Wiki de Jordan LE NUFF
Sauter à la navigation Sauter à la recherche

Présentation

Cette page a pour objet de donner un exemple de requête xpath afin de filtrer les événements dans les journaux Windows

Mise en œuvre

Exemple : 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4625)]]</Select>
    <Suppress Path="Security">*[EventData[Data[@Name="IpAddress"] and (Data="94.232.47.50" or Data="176.111.174.125" or Data="176.111.174.71" or Data="79.137.202.241" or Data="80.66.88.208" or Data="80.66.88.211" or Data="87.251.64.160" or Data="91.183.138.90")]]</Suppress>
  </Query>
</QueryList>

Cette requête filtre tous les événements système de type "Échec d’ouverture de session d’un compte" et exclue les requêtes correspondant à certaines adresses IP.

Récupérée de « https://wiki.jordan-lenuff.com/index.php?title=Technique/Systèmes_d%27exploitation/Windows/Astuces/Filtrer_les_journaux&oldid=1561 »