У меня включен аудит файлов, и я хотел бы иметь возможность фильтровать данные действия пользователя. Я установил довольно простой фильтр XML, но не могу заставить его работать. У меня он работает с несколькими категориями данных событий, отличными от AccessList, такими как HandleId и SubjectUserName.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='%%1537')]]
</Select>
</Query>
</QueryList>
Я пытаюсь найти следующее:
<Event>
<EventData>
<Data Name="AccessList">%%1537</Data>
</EventData>
</Event>
Может ли кто-нибудь дать совет?
Вам нужно добавить 
				
после %%1537
	
- вкладка


-- новая линия

-- возврат каретки
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='%%1537
				')]]
</Select>
</Query>
</QueryList>
Вы можете использовать шестнадцатеричное значение вместо значения схемы,
Eg. %%1537 = 0x10000
Итак, запрос будет таким:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessList'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>