2

Мне удалось создать запланированное задание, которое будет запускаться по идентификатору события. Например, у меня есть задача, которая будет запускать winver.exe всякий раз, когда регистрируется событие с кодом 4688. Так что, если я запустил notepad.exe из командной строки Run, также запустится winver.exe. Но это означает, что любой исполняемый EXE-файл будет запускать эту задачу, которая, в свою очередь, запускает winver.exe. Это слишком широкая сфера. Я хочу сузить это так, чтобы только когда правильный вид 4688 событий - а именно. cmd.exe или diskpart.exe - регистрируется, только тогда будет запущена задача.

Есть ли простой способ сделать это? Нацеливаться не только на идентификатор события, но и на заранее определенное имя процесса, в котором регистрируется этот идентификатор события?

Дополнительный скриншот ...

дополнение

|источник

1 ответ1

1

Похоже, что не существует простого (простого) способа сделать это. Это возможно только путем создания пользовательского фильтра событий, который будет использоваться для триггера с использованием выражений XPath. Другими словами, в диалоговом окне «Редактировать фильтр событий» отсутствуют элементы управления графическим интерфейсом, которые помогут вам выбрать конкретное поле данных, например имя процесса, для запуска задачи.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 13312 and (band(Keywords,9007199254740992)) and (EventID=4688)]]
        and
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\cmd.exe')]]
</Select>
  </Query>
</QueryList>

В этом примере запускается задача для выполнения действия (в моем случае запускается winver.exe) только в том случае, если зарегистрировано событие с кодом 4688, а поле «Новое имя процесса» содержит строку "C:\Windows\System32\cmd.exe" .

Если вы хотите сделать что-то подобное, но хотите, чтобы другие поля вызывали задачу, посмотрите на событие, на которое вы хотите нацелиться. Запустите eventvwr.msc из командной строки Run и перейдите к журналам Windows, Безопасность. Дважды щелкните по четному или правому щелчку, а затем щелкните Свойства события, чтобы открыть диалоговое окно свойств. Затем нажмите на вкладку Details и выберите XML View. Это поможет вам выяснить, какие другие поля можно использовать в качестве цели. Используйте тот же синтаксис, что и в примере выше.

Дополнительный скриншот ...

свойства события

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .