Windows-Ereignisprotokolle
Sie können die Ereignisprotokolle von Ihren Windows-Endpunkten sammeln.
Wenn Sie ein Windows-Ereignisprotokoll abfragen, schließt die Abfrage jedes Ereignis im Protokoll ein. Sie können Ereignisprotokollfilterung oder XPath-Abfragen verwenden, um die Anzahl der empfangenen Ereignisse einzuschränken.
Windows-Ereignisprotokolle werden in den folgenden Sprachen unterstützt:
Chinesisch (vereinfacht)
Chinesisch (traditionell)
Englisch
Französisch
Deutsch
Italienisch
Japanisch
Koreanisch
Portugiesisch
Russisch
Spanisch
Filtern von Windows-Ereignisprotokollen
Sie können den WinCollect-Agent so konfigurieren, dass bestimmte Ereignisse, die aus dem Windows-Ereignisprotokoll erfasst wurden, ignoriert oder einbezogen werden. Sie können die Gesamtzahl der EPS (Ereignisse pro Sekunde), die an die JSA-Konsole gesendet werden, mithilfe der Filtertypen begrenzen.
Die WinCollect-Agents können so konfiguriert werden, dass Ereignisse global nach ID-Code oder Protokollquelle ignoriert werden. Für globale Ausschlüsse wird das Feld "EventIDCode" aus der Ereignisnutzlast verwendet. Um die Werte zu bestimmen, die ausgeschlossen werden, verwenden Quell- und ID-Ausschlüsse das Feld Source = und das Feld EventIDCode= der Windows-Nutzlast. Trennen Sie mehrere Quellen durch ein Semikolon. Ereignisfilter wie Ausschluss, Einschluss und NSA sind für die folgenden Protokollquellentypen verfügbar:
Sicherheit
System
Anwendung
DNS-Server
Dateireplikationsdienst
Verzeichnisdienst
Weitergeleitete Ereignisse
Der WinCollect-Agent fordert jedes Mal alle verfügbaren Ereignisse von der Ereignissammlungs-API an, wenn der im Feld Abrufintervall angegebene Wert abläuft.
Für den Ausschlussfilter untersucht der Agent alle Ereignisse, die von der Ereignissammlungs-API abgerufen werden, und ignoriert Ereignisse, die den vom Administrator definierten Ausschlüssen entsprechen (entweder nach Windows-Ereignis-ID oder nach Quelle). Der Agent nimmt dann die verbleibenden Ereignisse und stellt die name=value-Paare zusammen und leitet die Ereignisse entweder an die JSA-Konsole oder die Event Collector-Appliance weiter. Für den Aufnahmefilter rufen die Agenten jedoch Ereignisse ab, die mit den vom Administrator angegebenen Ereignis-IDs übereinstimmen, und leiten diese Ereignisse an die JSA-Konsole oder den Ereignissammler weiter.
Der NSA-Filter ist ein einzigartiger Filtertyp, der eine entsprechende Liste vordefinierter Sicherheitsereignis-IDs enthält, die der Agent aus den Sicherheits-, System-, Anwendungs- und DNS-Protokollen abruft. Diese vordefinierten Sicherheitsereignis-IDs sind in den Ereignissen enthalten, die der Agent an die JSA-Konsole oder den Ereignissammler weiterleitet.
Für den Filter "Weitergeleitete Ereignisse" müssen Sie die Quelle oder den Kanal mit den Ereignis-IDs, die Sie filtern möchten, in Klammern angeben. Verwenden Sie Semikolons als Trennzeichen. Zum Beispiel:
Application(200-256,4097,34);Security(1);Symantec(1,13)
In diesem Beispiel werden die Ereignis-IDs 200 bis 256, 4097 und 34 für die Kanalanwendung, die Ereignis-ID 1 für Sicherheit und die Ereignis-IDs 1 und 13 für die Quelle namens Symantec gefiltert.
Parameter der Windows-Protokollquelle
Allgemeine Parameter werden verwendet, wenn Sie eine Protokollquelle für einen WinCollect-Agent oder ein WinCollect-Plug-In konfigurieren. Jedes WinCollect-Plug-In verfügt außerdem über einen eindeutigen Satz von Konfigurationsoptionen.
Parameter |
Beschreibung |
|---|---|
Protokollquellen-ID |
Die IP-Adresse oder der Hostname eines Windows-Remotebetriebssystems, von dem Sie Windows-basierte Ereignisse erfassen möchten. Der Protokollquellenbezeichner muss für den Protokollquellentyp eindeutig sein. Wird verwendet, um Ereignisse von Remotequellen abzurufen |
Lokales System |
Deaktiviert die Remoteerfassung von Ereignissen für die Protokollquelle. Die Protokollquelle verwendet Anmeldeinformationen des lokalen Systems, um Ereignisse zu erfassen und an die JSA weiterzuleiten. |
Domäne |
Optional Die Domäne, die die Windows-basierte Protokollquelle enthält. In den folgenden Beispielen wird die richtige Syntax verwendet: LAB1, server1.mydomain.com Die folgende Syntax ist falsch: \\mydomain.com |
Profil zur Optimierung der Ereignisrate |
Für das standardmäßige Abrufintervall von 3000 ms sind die ungefähr erreichbaren EPS-Raten (Ereignisse pro Sekunde) wie folgt:
Für ein Polling-Intervall von 1000 ms sind die ungefähren EPS-Raten wie folgt:
|
Polling-Intervall (ms) |
Das Intervall in Millisekunden zwischen den Zeiten, zu denen WinCollect neue Ereignisse abfragt. |
Anwendungs- oder Dienstprotokolltyp |
Optional. Wird für XPath-Abfragen verwendet. Stellt eine spezielle XPath-Abfrage für Produkte bereit, die ihre Ereignisse als Teil des Windows-Anwendungsprotokolls schreiben. Daher können Sie Windows-Ereignisse von Ereignissen trennen, die in eine Protokollquelle für ein anderes Produkt klassifiziert sind. |
Protokoll zum Abruf des Ereignisprotokolls |
Das Protokoll, das JSA für die Kommunikation mit dem Windows-Gerät verwendet. Der Standardwert ist MSEVEN6. |
Protokollfiltertyp |
Konfiguriert den WinCollect-Agent so, dass bestimmte Ereignisse aus dem Windows-Ereignisprotokoll ignoriert werden. Sie können WinCollect-Agents auch so konfigurieren, dass Ereignisse global nach ID-Code oder Protokollquelle ignoriert werden. Ausschlussfilter für Ereignisse sind für die folgenden Protokollquellentypen verfügbar: Sicherheit, System, Anwendung, DNS-Server, Dateireplikationsdienst und Verzeichnisdienst Für globale Ausschlüsse wird das Feld "EventIDCode" aus der Ereignisnutzlast verwendet. Um die Werte zu bestimmen, die ausgeschlossen werden, verwenden Quell- und ID-Ausschlüsse das Feld und das Beispiel: Ausschlussfilter können Kommas und Bindestriche verwenden, um einzelne EventIDs oder Bereiche zu filtern, z. B. 4609, 4616, 6400-6405 |
Sicherheit |
Aktivieren Sie das Kontrollkästchen, damit WinCollect Sicherheitsprotokolle an JSA weiterleiten kann. |
Filtertyp für Sicherheitsprotokolle |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus. Die Option " NSA-Filter " füllt das Feld "Sicherheitsprotokollfilter " mit einer Liste von Ereignis-IDs, die von der National Security Agency empfohlen werden. Der Standardwert ist Keine Filterung.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Sicherheitsprotokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
System |
Aktivieren Sie das Kontrollkästchen, damit WinCollect Systemprotokolle an JSA weiterleiten kann. |
Systemprotokoll-Filtertyp |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus. Die Option " NSA-Filter " füllt das Feld "Systemprotokollfilter " mit einer Liste von Ereignis-IDs, die von der National Security Agency empfohlen werden. Der Standardwert ist Keine Filterung.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Systemprotokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
Anwendung |
Aktivieren Sie das Kontrollkästchen, damit WinCollect Anwendungsprotokolle an JSA weiterleiten kann. |
Filtertyp für Anwendungsprotokolle |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus. Die Option " NSA-Filter " füllt das Feld "Anwendungsprotokollfilter " mit einer Liste von Ereignis-IDs, die von der National Security Agency empfohlen werden. Der Standardwert ist Keine Filterung.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Anwendungsprotokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
DNS-Server |
Aktivieren Sie das Kontrollkästchen, damit WinCollect DNS-Serverprotokolle an JSA weiterleiten kann. |
DNS-Server-Protokollfiltertyp |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus. Die Option " NSA-Filter " füllt das Feld "DNS-Serverprotokollfilter " mit einer Liste von Ereignis-IDs, die von der National Security Agency empfohlen werden. Der Standardwert ist Keine Filterung.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld DNS-Serverprotokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
Dateireplikationsdienst |
Aktivieren Sie das Kontrollkästchen, damit WinCollect Protokolle des Dateireplikationsdiensts an JSA weiterleiten kann. |
Dateireplikationsdienst-Protokollfiltertyp |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Dateireplikationsdienst-Protokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
Verzeichnisdienst |
Aktivieren Sie das Kontrollkästchen, damit WinCollect Verzeichnisdienstprotokolle an JSA weiterleiten kann. |
Filtertyp für Verzeichnisdienstprotokolle |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie den Ausschlussfilter aus. Um eine bestimmte Ereignis-ID einzuschließen, die im Windows-Ereignisprotokoll erfasst wurde, wählen Sie den Aufnahmefilter aus.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Verzeichnisdienstprotokollfilter angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. |
Weitergeleitete Ereignisse |
Ermöglicht JSA das Erfassen von Ereignissen, die von Remote-Windows-Ereignisquellen weitergeleitet werden, die Abonnements verwenden. Weiterleitungsereignisse, die Ereignisabonnements verwenden, werden automatisch vom WinCollect-Agent erkannt und weitergeleitet, als ob es sich um eine Syslog-Ereignisquelle handeln würde. Wenn Sie die Ereignisweiterleitung von Ihrem Windows-System aus konfigurieren, aktivieren Sie das Vorrendern von Ereignissen.
Hinweis:
WinCollect unterstützt das Abrufen von Protokollen nur aus dem Kanal für weitergeleitete Ereignisse. Das Schreiben von Ereignissen aus einem Abonnement in einen anderen Kanal wird nicht unterstützt. |
Filtertyp "Weitergeleitete Ereignisse" |
Um bestimmte Ereignis-IDs zu ignorieren, die aus dem Windows-Ereignisprotokoll erfasst wurden, wählen Sie Ausschlussfilter aus. Um bestimmte Ereignis-IDs einzuschließen, die im Windows-Ereignisprotokoll erfasst wurden, wählen Sie Einschlussfilter aus. Die Option " NSA-Filter " füllt das Filterfeld "Weitergeleitete Ereignisse " mit allen Kanälen und ihren jeweiligen Filtern, wie von der National Security Agency empfohlen. Der Standardwert ist Keine Filterung.
Hinweis:
Wenn Sie einen Filtertyp aus der Liste auswählen, wird ein neues Feld Filter für weitergeleitete Ereignisse angezeigt. Sie müssen die Ereignis-IDs angeben, die Sie ein- oder ausschließen möchten. Für den Filter "Weitergeleitete Ereignisse" müssen Sie die Quelle oder den Kanal mit den Ereignis-IDs, die Sie filtern möchten, in Klammern angeben. Verwenden Sie Semikolons als Trennzeichen. Zum Beispiel: Application(200-256,4097,34); Security(1);Symantec(1,13) In diesem Beispiel werden die Ereignis-IDs 200 - 256, 4097 und 34 für den Kanal Anwendung gefiltert. Ereignis-ID 1 wird nach Sicherheit gefiltert. Die Ereignis-IDs 1 und 13 werden nach der Quelle namens Symantec gefiltert. |
Ereignistypen |
Es muss mindestens ein Ereignistyp ausgewählt sein. Wenn Sie bestimmte Ereignistypen erfassen müssen, befolgen Sie die Anweisungen zum Erstellen eines benutzerdefinierten XPath mit diesen spezifischen Ereignistypen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Ansicht. |
Aktivieren von Active Directory-Suchvorgängen |
Wenn sich der WinCollect-Agent in derselben Domäne wie der Domänencontroller befindet, der für die Active Directory-Suche zuständig ist, können Sie dieses Kontrollkästchen aktivieren. Wenn Sie dies tun, lassen Sie die Parameter "Domäne und DNS außer Kraft setzen" leer.
Hinweis:
Sie müssen Werte für die Parameter Domain Controller Name Lookup und DNS Domain Name Lookup eingeben. |
Domänencontrollernamen überschreiben |
Erforderlich, wenn sich der Domänencontroller, der für die Active Directory-Suche zuständig ist, außerhalb der Domäne des WinCollect-Agents befindet. Die IP-Adresse oder der Hostname des Domänencontrollers, der für die Active Directory-Suche zuständig ist. |
XPath-Abfrage |
Strukturierte XML-Ausdrücke, die Sie zum Abrufen benutzerdefinierter Ereignisse aus Windows-Ereignisprotokollen verwenden. Wenn Sie eine XPath-Abfrage zum Filtern von Ereignissen angeben, werden die Kontrollkästchen, die Sie unter Standardprotokolltyp oder Ereignistyp ausgewählt haben, zusammen mit der XPath-Abfrage erfasst. Um Informationen mithilfe einer XPath-Abfrage zu sammeln, müssen Sie möglicherweise die Remote-Ereignisprotokollverwaltung unter Windows 2008 aktivieren. |
Interner Zielort |
Verwenden Sie beliebige verwaltete Hosts mit einer Ereignisprozessorkomponente als internes Ziel. |
Externes Zielziel |
Leitet Ihre Ereignisse an ein oder mehrere externe Ziele weiter, die Sie in Ihrer Zielliste konfiguriert haben. |
Anwendungs- und Serviceprotokolle
Verwenden Sie XPath-Abfragen, um Ereignisse aus den Ereignisprotokollen von Anwendungen und Diensten zu erfassen.
XPath-Abfragen sind strukturierte XML-Ausdrücke, mit denen Sie benutzerdefinierte Ereignisse aus den Windows-Ereignisprotokollen abrufen können.
Erstellen einer benutzerdefinierten Ansicht
Verwenden Sie die Microsoft-Ereignisanzeige, um benutzerdefinierte Ansichten zu erstellen, mit denen Ereignisse nach Schweregrad, Quelle, Kategorie, Schlüsselwörtern oder bestimmten Benutzern gefiltert werden können.
Die Verwendung von mehr als 10 XPath-Abfragen kann sich auf die WinCollect-Leistung auswirken, abhängig vom XPath und der Anzahl der Ereignisse, die in den einzelnen Kanälen eingehen.
WinCollect-Protokollquellen können XPath-Filter verwenden, um bestimmte Ereignisse aus Ihren Protokollen zu erfassen. Um das XML-Markup für den XPath-Abfrageparameter zu erstellen, müssen Sie eine benutzerdefinierte Ansicht erstellen. Sie müssen sich als Administrator anmelden, um die Microsoft-Ereignisanzeige verwenden zu können.
XPath-Abfragen, die das WinCollect-Protokoll , die TimeCreated-Notation, verwenden, unterstützen das Filtern von Ereignissen nach einem Zeitbereich nicht. Das Filtern von Ereignissen nach einem Zeitraum kann zu Fehlern beim Erfassen von Ereignissen führen.
Wählen Sie auf dem Desktop Start >Ausführen aus.
Geben Sie den folgenden Befehl ein:
Eventvwr.msc
Klicken Sie auf OK.
Wenn Sie dazu aufgefordert werden, geben Sie das Administratorkennwort ein und drücken Sie die Eingabetaste.
Klicken Sie auf Aktion >Benutzerdefinierte Ansicht erstellen.
Wenn Sie eine benutzerdefinierte Ansicht erstellen, wählen Sie keinen Zeitraum aus der Liste Protokolliert aus. Die Protokollliste enthält das TimeCreated-Element , das in XPath-Abfragen für das WinCollect-Protokoll nicht unterstützt wird.
Aktivieren Sie unter Ereignisebene die Kontrollkästchen für den Schweregrad der Ereignisse, die Sie in die benutzerdefinierte Ansicht aufnehmen möchten.
Wählen Sie eine Ereignisprotokollquelle aus. Sie können die Quelle aus dem Dropdown-Menü Ereignisquellen auswählen oder über das Dropdown-Menü Ereignisprotokolle zu einer Quelle navigieren.
Geben Sie die Ereignis-IDs ein, die aus der Ereignis- oder Protokollquelle gefiltert werden sollen.
Verwenden Sie Kommas, um IDs zu trennen.
Die folgende Liste enthält eine individuelle ID und einen Bereich: 4133, 4511-4522
Wählen Sie in der Liste Aufgabenkategorie die Kategorien aus, die nach der Ereignis- oder Protokollquelle gefiltert werden sollen.
Wählen Sie in der Liste Schlüsselwörter die Schlüsselwörter aus, die aus der Ereignis- oder Protokollquelle gefiltert werden sollen.
Geben Sie den Benutzernamen ein, der aus der Ereignis- oder Protokollquelle gefiltert werden soll.
Geben Sie den Computer oder die Computer ein, die aus der Ereignis- oder Protokollquelle gefiltert werden sollen.
-
Klicken Sie auf die Registerkarte XML .
Kopieren Sie den XML-Code, und fügen Sie ihn in das Feld XPath-Abfrage der WinCollect-Protokollquellenkonfiguration ein
Konfigurieren Sie eine Protokollquelle mit der XPath-Abfrage. Weitere Informationen finden Sie unter Anwendungs- und Dienstprotokolle.
Beispiele für XPath-Abfragen
Verwenden Sie XPath-Beispiele zum Überwachen von Ereignissen und zum Abrufen von Anmeldeinformationen als Referenz beim Erstellen von XPath-Abfragen.
Weitere Informationen zu XPath-Abfragen finden Sie in der Microsoft-Dokumentation.
XPath verwendet nur das MSEVEN6-Ereignisprotokoll.
Beispiel: Überwachen von Ereignissen für einen bestimmten Benutzer
In diesem Beispiel ruft die Abfrage Ereignisse aus allen Windows-Ereignisprotokollen für den Gastbenutzer ab.
XPath-Abfragen können weitergeleitete Windows-Ereignisse nicht filtern.
<QueryList> <query id="0" path="application"> <select path="application">*[system[(level=4 or level=0) and security[@UserID='s-1-5-21-3709697454-1862423022-1906558702-501 ']]]</select> <select path="security">*[system[(level=4 or level=0) and security[@UserID='s-1-5-21-3709697454-1862423022-1906558702-501 ']]]</select> <select path="setup">*[System[(Level=4 or level=0) und security[@UserID='s-1-5-21-3709697454-1862423022-1906558702-501 ']]]</select> <select path="system">*[system[(level=4 or level=0) und security[@UserID='s-1-5-21-3709697454-1862423022-1906558702-501 ']]]</select> </query> </queryList>.
Beispiel: Anmeldeinformationen für Windows 2008
In diesem Beispiel ruft die Abfrage bestimmte Ereignis-IDs aus dem Sicherheitsprotokoll für Ereignisse auf Informationsebene ab, die der Kontoauthentifizierung in Windows 2008 zugeordnet sind.
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(Level=4 oder Level=0) and ( (EventID >= 4776 and EventID <= 4777) )]]</Select> </Query> </QueryList>
ID |
Beschreibung |
|---|---|
4776 |
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen. |
4777 |
Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen. |
Beispiel: Abrufen von Ereignissen basierend auf dem Benutzer
In diesem Beispiel untersucht die Abfrage Ereignis-IDs, um bestimmte Ereignisse für ein Benutzerkonto abzurufen, das auf einem fiktiven Computer erstellt wird, der eine Benutzerkennwortdatenbank enthält.
<QueryList> <Abfrage-ID="0" Pfad="Sicherheit"> <Select Pfad="Sicherheit">*[System[(Computer='Password_DB') und (Ebene=4 oder Ebene=0) und (Ereignis-ID=4720 oder (Ereignis-ID >= 4722 und Ereignis-ID <= 4726) oder (Ereignis-ID >= 4741 und Ereignis-ID <= 4743) )]]</Auswahl> </Abfrage> </QueryList>
ID |
Beschreibung |
|---|---|
4720 |
Ein Benutzerkonto wurde erstellt. |
4722 |
Ein Benutzerkonto wurde aktiviert. |
4723 |
Es wurde versucht, das Passwort eines Kontos zu ändern. |
4724 |
Es wurde versucht, das Passwort eines Kontos zurückzusetzen. |
4725 |
Ein Benutzerkonto wurde deaktiviert. |
4726 |
Ein Benutzerkonto wurde gelöscht. |
4741 |
Ein Benutzerkonto wurde erstellt. |
4742 |
Ein Benutzerkonto wurde geändert. |
4743 |
Ein Benutzerkonto wurde gelöscht. |
Beispiel: Abrufen von DNS-Analyseprotokollen
In diesem Beispiel ruft die Abfrage alle Ereignisse ab, die in DNS-Analyseprotokollen erfasst werden.
<QueryList> <Query Id="0" Path="Microsoft-Windows-DNSServer/Analytical"> <Select Path="Microsoft-Windows-DNSServer/Analytical">*</Select> </Query> </QueryList>
Beispiel: Abrufen von Ereignissen mit Sysinternals Sysmon
In diesem Beispiel ruft die Abfrage alle Ereignisse ab, die von SysInternals Sysmon erfasst werden.
<QueryList> <Query Id="0" Path="Microsoft-Windows-DNSServer/Operational"> <Select Path="Microsoft-Windows-DNSServer/Operational">*</Select> </Query> </QueryList>