Мне включили файл, контролирующий, и я хотел бы смочь отфильтровать для данного пользовательского действия. Я настроил фильтр XML, это является довольно основным, но я, может казаться, не заставляю его работать. У меня есть он работающий с несколькими eventdata категориями кроме AccessList, такими как HandleId и SubjectUserName.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='%%1537')]]
</Select>
</Query>
</QueryList>
Я пытаюсь найти следующее:
<Event>
<EventData>
<Data Name="AccessList">%%1537</Data>
</EventData>
</Event>
Кто-либо может предложить некоторое руководство?
добавить
после %%1537
-- вкладка
-- новая строка
-- возврат каретки
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='%%1537
				')]]
</Select>
</Query>
</QueryList>
Вы можете использовать шестнадцатеричное значение вместо значения схемы,
Eg. %%1537 = 0x10000
Таким образом, запрос будет,
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>