Como segmentar um evento pelo nome do processo e pelo ID?

2

Consegui criar uma tarefa agendada que será acionada por um ID de evento. Por exemplo, tenho uma tarefa que executará o winver.exe sempre que a ID de evento 4688 for registrada. Portanto, se eu executar o notepad.exe a partir do prompt de execução, o winver.exe também será executado. Mas isso significa que qualquer EXE que for executado acionará essa tarefa, que por sua vez executa o winver.exe. Este é um escopo muito amplo. Eu quero restringir isso de modo que somente quando o tipo certo de evento 4688 - viz. cmd.exe ou diskpart.exe - é registrado, somente então a tarefa será acionada.

Existe alguma maneira fácil de fazer isso? Para segmentar não apenas o ID do evento, mas também o nome do processo predefinido que registra esse ID de evento?

Screenshot suplementar ...

supplement

scheduled-tasks event-log windows-task-scheduler Samir
fonte

Respostas:

1

Parece que não há maneira fácil (simples) de fazer isso. Isso só é possível criando um filtro de eventos personalizado que será usado para o gatilho, usando expressões XPath. Em outras palavras, não há elementos de controle da GUI na caixa de diálogo Editar Filtro de Eventos que ajudará a selecionar um campo de dados específico, como o nome do processo para acionar uma tarefa. 

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 13312 and (band(Keywords,9007199254740992)) and (EventID=4688)]]
        and
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\cmd.exe')]]
</Select>
  </Query>
</QueryList>

Este exemplo aciona a tarefa para executar uma ação (executa winver.exe no meu caso) somente quando a ID de evento 4688 é registrada e o campo Novo Nome de Processo contém a cadeia "C:\Windows\System32\cmd.exe".

Se você quiser fazer algo semelhante, mas quiser que outros campos disparem a tarefa, dê uma olhada no evento que deseja segmentar. Corre eventvwr.msc do prompt de execução e navegue até Logs do Windows, Segurança. Clique duas vezes em um clique direito ou direito e, em seguida, clique em Propriedades do Evento para abrir a caixa de diálogo de propriedades. Em seguida, clique na guia Detalhes e escolha Exibição XML. Isso ajudará você a descobrir quais outros campos podem ser usados ​​como alvo. Use a mesma sintaxe como no exemplo acima.

Screenshot suplementar ...

event properties

Samir
fonte