Windows-Server-2008-R2

嘗試在事件查看器中過濾 AccessList = %%1537:/

  • March 9, 2020

我啟用了文件審核,我希望能夠過濾給定的使用者操作。我已經設置了一個非常基本的 XML 過濾器,但我似乎無法讓它工作。除了 AccessList 之外,我還可以處理幾個事件數據類別,例如 HandleId 和 SubjectUserName。

<QueryList> 
<Query Id="0" Path="Security"> 
 <Select Path="Security"> 
  *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] 
 </Select> 
</Query> 
</QueryList>

我試圖找到以下內容:

<Event>
<EventData>
 <Data Name="AccessList">%%1537</Data>
</EventData>
</Event>

任何人都可以提供一些指導嗎?

您需要在
				之後添加%%1537

	– 標籤


- 新隊


– 輸入

<QueryList> 
<Query Id="0" Path="Security"> 
 <Select Path="Security"> 
  *[EventData[Data[@Name='AccessList'] and (Data='%%1537
				')]] 
 </Select> 
</Query> 
</QueryList>

參考:https://social.technet.microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer?論壇=winserverpowershell

引用自:https://serverfault.com/questions/679640

相關問答

Windows-Event-Log

事件日誌 > 過濾目前日誌 > XML > 其中 EventData 包含文本

  • April 14, 2020
檢視問答
Windows-Server-2008-R2

來自安全事件日誌的 XML 查詢過濾器的意外結果

  • May 13, 2018
檢視問答
Windows-Event-Log

如何使用萬用字元過濾 Windows 事件日誌?

  • March 24, 2017
檢視問答
Windows

如何將多個電腦名稱添加到事件查看器的自定義視圖中?

  • March 18, 2016
檢視問答
Windows-Server-2008-R2

如何將事件查看器過濾到來自單個網站的錯誤?

  • October 13, 2014
檢視問答
Windows-Server-2008-R2

從 Powershell 獲取的事件日誌與事件日誌查看器之間的差異

  • February 16, 2013
檢視問答