Вопросы Теги

Попытка отфильтровать AccessList = %% 1537 в средстве просмотра события:/

Мне включили файл, контролирующий, и я хотел бы смочь отфильтровать для данного пользовательского действия. Я настроил фильтр XML, это является довольно основным, но я, может казаться, не заставляю его работать. У меня есть он работающий с несколькими eventdata категориями кроме AccessList, такими как HandleId и SubjectUserName.

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] 
  </Select> 
 </Query> 
</QueryList>

Я пытаюсь найти следующее:

<Event>
 <EventData>
  <Data Name="AccessList">%%1537</Data>
 </EventData>
</Event>

Кто-либо может предложить некоторое руководство?

1
задан 31 March 2015 в 21:05
2 ответа

добавить после %%1537

-- вкладка

-- новая строка

-- возврат каретки

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] 
  </Select> 
 </Query> 
</QueryList>

Ссылка: https://social.technet.microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer?forum=winserverpowershell

2
ответ дан 3 December 2019 в 20:56

Вы можете использовать шестнадцатеричное значение вместо значения схемы, 

Eg. %%1537 = 0x10000

Таким образом, запрос будет, 

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='0x10000')]] 
  </Select> 
 </Query> 
</QueryList>
0
ответ дан 9 March 2020 в 05:00

Теги

Похожие вопросы