[Windows] Event Log를 필터링하기(XML을 통한 Custom View생성)
1. 보안 이벤트에서 이벤트 ID 5061과 로그인 사용자가 gmkim 혹은 mani4u 값으로 조회, 24시간 이내 값만
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=5061) and TimeCreated[timediff(@SystemTime) <= 86400000]]]
and
*[EventData[Data[@Name='SubjectUserName'] and (Data='gmkim' or Data='test9')]]
</Select>
</Query>
</QueryList>
2. 모든 스키마에서 검색 데이터 값이 있으면 모두 쿼리
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data and (Data="gmkim" or Data="mani4u")]]
</Select>
</Query>
</QueryList>
Advanced XML filtering in the Windows Event Viewer | Microsoft Learn
Advanced XML filtering in the Windows Event Viewer
Table of contents Advanced XML filtering in the Windows Event Viewer Article 09/26/2011 4 minutes to read In this article --> Hi guys, Joji Oshima here again. Today I want to talk about using Custom Views in the Windows Event Viewer to filter events more e
learn.microsoft.com
'IT이야기 > ActiveDirectory' 카테고리의 다른 글
| 그룹 정책: IE 보안 강화 구성(IE ESC) 사용 안 함 (0) | 2023.04.06 |
|---|---|
| 사용자 지정 Active Directory 특성 만들기 (0) | 2023.03.03 |
| 특정 사용자 계정잠금 예외처리(Active Directory 관리 센터) (0) | 2022.12.13 |
| Default group policy GPT.ini file deleted/missing (0) | 2022.12.13 |
| Troubleshooting Active Directory Replication (0) | 2022.11.25 |