WinSvr2008 триггер на ЕventViewer / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / WinSvr2008 триггер на ЕventViewer

2 сообщений из 2, страница 1 из 1

WinSvr2008 триггер на ЕventViewer

#37967689

Cheerful Calf

Участник

Откуда: Lithuania

Сообщения: 7 655

Рейтинг: 0 / 0

Настроил триггер на ивент (unsuccesful login)
Security_Microsoft-Windows-Security-Auditing_4625

он запускает vbs, который отсылает емайл и другую инфу.
Как из этого vbs узнать имя акаунта, который не смог залогиниться?
Или как настроить фильтр, чтобы ивент срабатывал только на определённых юзеров (картинка)?

Если пишу там v.pupkin - нет никаких записей, хотя в ивенте именно

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

An account failed to log on.

Subject:
	Security ID:		SYSTEM
	Account Name:		****$
	Account Domain:		*****
	Logon ID:		0x3e7

Logon Type:			10

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		v.pupkin
	Account Domain:		****

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xc000006d
	Sub Status:		0xc000006a

Process Information:
	Caller Process ID:	0x14f0
	Caller Process Name:	C:\Windows\System32\winlogon.exe

.....

...

Рейтинг:

0 / 0

21.09.2012, 16:40

| Ответить | Цитировать | Написать

WinSvr2008 триггер на ЕventViewer

#37967716

Cheerful Calf

Участник

Откуда: Lithuania

Сообщения: 7 655

Рейтинг: 0 / 0

Во как надо )

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security"> 
                 *[EventData[Data[@Name='SubjectUserName'] and (Data='v.pupkin')]] 
                 and 
                 *[System[(EventID='4625')]] 
               </Select>
  </Query>
</QueryList>

...

Рейтинг:

0 / 0

21.09.2012, 17:08

| Ответить | Цитировать | Написать

2 сообщений из 2, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / WinSvr2008 триггер на ЕventViewer

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&msg=37967689&tid=1496365]:	0ms
get settings:	5ms
get forum list:	17ms
check forum access:	3ms
check topic access:	3ms
track hit:	60ms
get topic data:	11ms
get forum data:	3ms
get page messages:	50ms
get tp. blocked users:	1ms
others:	197ms

total:	350ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы