Monitore
Passive MonitoreWindows-Ereignisprotokoll
MonitorePassive MonitoreWindows-Ereignisprotokoll
Der Monitor für das Windows-Ereignisprotokoll verwendet die WMI-Authentifizierung, um Windows-Ereignisse auf denjenigen Geräten zu überwachen, denen dieser Monitor zugewiesen wurde. Um für das Windows-Ereignisprotokoll mehrere Monitore zu verwenden, müssen Sie jedem Gerät einen eindeutigen Monitor zuweisen. Vergewissern Sie sich bei der Zuweisung eines Monitors für das Windows-Ereignisprotokoll, dass dem jeweiligen Gerät zuvor Anmeldeinformationen zugewiesen worden sind.
Geben Sie einen eindeutigen Namen und eine Beschreibung für den Monitor ein und konfigurieren Sie dann Folgendes:
), um das Dialogfenster „WinEvent-Bedingung“ zu öffnen. Hier können Sie eine Bedingung erstellen, die erfüllt werden soll. Wiederholen Sie den Vorgang bei Bedarf, um weitere Bedingungen zu erstellen. Es werden nur solche Protokolleinträge in Ereignisse umgewandelt, die mit diesen Ausdrücken übereinstimmen. Bedingungen werden in der angegebenen Reihenfolge (von oben nach unten) abgearbeitet. Nachdem eine Bedingung geprüft wurde, werden die Ergebnisse auf die nächstfolgende Bedingung angewandt, bis sämtliche Bedingungen geprüft wurden. Bei komplexen Konstellationen von Bedingungen, die sowohl logische UND- als auch logische ODER-Verknüpfungen enthalten, kann es vorkommen, dass diese Logikabfolge andere Ergebnisse liefert als vorgesehen. Daher empfehlen wir Ihnen, möglichst einfache Bedingungen zu verwenden und statt komplexer Konstellationen von Bedingungen vielmehr mehrere passive Monitore einzusetzen. Sollten sich komplexe Bedingungen jedoch nicht vermeiden lassen, empfehlen wir Ihnen folgende Vorgehensweise: Fassen Sie am Anfang der Konstellation von Bedingungen sämtliche ODER-Verknüpfungen zusammen und fügen Sie die UND-Verknüpfungen erst danach ein. Klicken Sie auf (
), um eine Bedingung hinzuzufügen oder zu bearbeiten, oder auf (
), um eine Bedingung aus der Liste zu entfernen.). Der Regelausdruck-Editor wird gestartet. Damit können Sie dann einen Ausdruck erzeugen, testen und mit potenziellen Payloads vergleichen. Klicken Sie auf (), um einen Ausdruck hinzuzufügen oder zu bearbeiten, oder auf (), um einen Ausdruck aus der Liste zu entfernen.Important: Ergeben sich mehrere „übereinstimmende“ Ausdrücke für Payloads, werden diese nicht durch das logische „UND“, sondern durch das logische „ODER“ verknüpft. Zwei Ausdrücke, von denen einer „AB“ lautet und der andere „BA“, stimmen mit einem Trap mit folgenden Inhalten überein: „AB“ oder „BA“ oder „ABBA“.