Итак, я знаю, что вы можете фильтровать по исходному IP-адресу. Но что, если вы хотите выполнить фильтрацию по диапазону исходных IP-адресов. Я попытался
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)]]
and
*[EventData[Data[@Name ='LogonType']='3']]
and
*[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.xxx")]]
</Select>
</Query>
</QueryList>
и
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)]]
and
*[EventData[Data[@Name ='LogonType']='3']]
and
*[EventData[Data[@Name="IpAddress"] and (Data="10.10.22.*")]]
</Select>
</Query>
</QueryList>
Оба не работают = (
Похоже, на этот вопрос был дан ответ Вот. Короткий ответ: подстановочные знаки не поддерживаются в XPath 1.0, который используется при ведении журнала событий Windows. После экспорта событий вам придется снова выполнить фильтрацию. Предоставьте пример использования и, возможно, получите другие идеи для достижения вашей цели.