Windowドメインコントローラーサーバー上でログイン失敗時にEventID:4625のイベントログが残されている。連続ログイン失敗の場合にパスワードが試されている総当たり攻撃(例ウィルス感染で)にある可能性として調査する必要がある。
いろいろなイベントログからログイン失敗のみのログを割り出すために、イベントビュアーでEventID:4625を指定してログイン失敗の履歴一覧が出せる。
但しイベントビューアーの「フィルター」編集画面で特定のターゲットユーザーの指定ができない。ここで「XML」タブでのXPathでQueryで特定なターゲットユーザーログ情報抽出を試みた。
ウェブのいろいろな記事から手動でクエリ編集例を見つけて
*[System[(EventID=4768)] and EventData[Data[@Name=’TargetUserName’]= 'ユーザー名' ]]
実際の「ユーザー名」を入替で、以下のような感じ:
実際に実行すると以下のようなエラーが発生した:
いろいろな条件と値を変えながら試したら、原因を見つけた:パラメータにあるシングルコーテーション「'」が使用することができなくて、ダブルコーテーション「"」を使用すると問題を解決した。
*[System[(EventID=4768)] and EventData[Data[@Name="TargetUserName"]= "ユーザー名" ]]