Попытка понять фильтрацию XPATH для журналов событий Windows (XML)

Question

Итак, сейчас я пытаюсь установить и настроить сбор событий Windows с помощью подписки, инициированной Collector. В настоящее время я собираю только журналы событий безопасности 4624 и 4688. Я вижу много шума только от случайных учетных записей, которые входят в ящики для определенных целей. Я хотел найти способ отфильтровать эти конкретные имена учетных записей, чтобы служба подписки игнорировала их.

Текущий файл XML:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624 or EventID=4688)]]</Select>
  </Query>
</QueryList>

Ниже приведен XML-файл журнала событий. Но я не хочу, чтобы мой сборщик событий Windows собирал какие-либо журналы, которые имеют «0xluka» в поле «Имя целевого пользователя».

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event" xml:lang="en-US"> 
- <System> 
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="" /> 
<EventID>4624</EventID> 
<Version>2</Version> 
<Level>0</Level> 
<Task>12544</Task> 
<Opcode>0</Opcode> 
<Keywords>0x8020000000000000</Keywords> 
<TimeCreated SystemTime="2019-10-23T20:19:06.533771900Z" /> 
<EventRecordID>963937830</EventRecordID> 
<Correlation ActivityID="" /> 
<Execution ProcessID="640" ThreadID="15576" /> 
<Channel>Security</Channel> 
<Computer>0xluka.localdomain.com</Computer> 
<Security /> 
</System> 
- <EventData> 
<Data Name="SubjectUserSid"></Data> 
<Data Name="SubjectUserName">-</Data> 
<Data Name="SubjectDomainName">-</Data> 
<Data Name="SubjectLogonId">0x0</Data> 
<Data Name="TargetUserSid"></Data> 
<Data Name="TargetUserName">0xluka</Data> 
<Data Name="TargetDomainName"></Data> 
<Data Name="TargetLogonId"></Data> 
<Data Name="LogonType">3</Data> 
<Data Name="LogonProcessName">NtLmSsp</Data> 
<Data Name="AuthenticationPackageName">NTLM</Data> 
<Data Name="WorkstationName"></Data> 
<Data Name="LogonGuid"></Data> 
<Data Name="TransmittedServices">-</Data> 
<Data Name="LmPackageName">NTLM V2</Data> 
<Data Name="KeyLength">0</Data> 
<Data Name="ProcessId">0x0</Data> 
<Data Name="ProcessName">-</Data> 
<Data Name="IpAddress"></Data> 
<Data Name="IpPort"></Data> 
<Data Name="ImpersonationLevel">%%1833</Data> 
<Data Name="RestrictedAdminMode">-</Data> 
<Data Name="TargetOutboundUserName">-</Data> 
<Data Name="TargetOutboundDomainName">-</Data> 
<Data Name="VirtualAccount">%%1843</Data> 
<Data Name="TargetLinkedLogonId">0x0</Data> 
<Data Name="ElevatedToken">%%1842</Data> 
</EventData> 
- <RenderingInfo Culture="en-US"> 
<Message>An account was successfully logged on. </Message> 
<Level>Information</Level> 
<Task>Logon</Task> 
<Opcode>Info</Opcode> 
<Channel>Security</Channel> 
<Provider>Microsoft Windows security auditing.</Provider> 
- <Keywords> 
<Keyword>Audit Success</Keyword> 
</Keywords> 
</RenderingInfo> 
</Event>

Answer 1

Вы можете исключить это targetusername, добавив еще одно условие в существующий xpath.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624 or EventID=4688)]] and
         *[EventData[Data[@Name='TargetUserName'] and (Data!='0xluka')]]    
    </Select>
  </Query>
</QueryList>