Назад | Перейти на главную страницу

Попытка отфильтровать список доступа = %% 1537 в средстве просмотра событий: /

У меня включен аудит файлов, и я хотел бы иметь возможность фильтровать данные действия пользователя. Я установил довольно простой фильтр XML, но не могу заставить его работать. У меня он работает с несколькими категориями данных событий, отличными от AccessList, такими как HandleId и SubjectUserName.

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] 
  </Select> 
 </Query> 
</QueryList>

Я пытаюсь найти следующее:

<Event>
 <EventData>
  <Data Name="AccessList">%%1537</Data>
 </EventData>
</Event>

Может ли кто-нибудь дать совет?

Вам нужно добавить &#xD;&#xA;&#x09;&#x09;&#x09;&#x09; после %%1537

&#x09; - вкладка

&#xA; -- новая линия

&#xD; -- возврат каретки

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] 
  </Select> 
 </Query> 
</QueryList>

Ссылка: https://social.technet.microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer?forum= Winserverpowershell

Вы можете использовать шестнадцатеричное значение вместо значения схемы,

Eg. %%1537 = 0x10000

Итак, запрос будет таким:

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='0x10000')]] 
  </Select> 
 </Query> 
</QueryList>