Расширенная фильтрация XML в средстве просмотра событий windows

Question

Расширенная фильтрация XML в средстве просмотра событий windows

Я хотел бы использовать расширенную функцию фильтрации XML в средстве просмотра событий Windows. Мы получили события 'ReadAttributes' (4663) и события 'SYNCHRONIZE|ReadAttribute' (4656), когда мы открываем документ. Это происходит каждую секунду для каждого файла, чтобы проверить файлы для нового ввода и не может быть скорректирована.

Чтобы уменьшить количество журналов во втором приложении, мне нужен XML из средства просмотра событий для фильтрации этих событий.

Во втором приложении мы можем видеть в необработанном событии, что поле имени Windows имеет AccessList для событий 4663 и 4656.

Я пробовал это, но это приводит к нулю событий:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4663')]]
        and
*[EventData[Data[@Name='AccessList'] and (text='ReadAttributes')]]
</Select>
</Query>
</QueryList>

Не могли бы вы помочь мне найти мою ошибку и рассказать, как совмещать события 4656?

0

xml windows xml-parsing event-viewer logfiles

Источник

user9332995 13 фев '18 в 11:28

0 ответов

Другие вопросы по тегам xml windows xml-parsing event-viewer logfiles