Кажется, я не могу заставить средство просмотра событий фильтровать исходный IP-адрес, который находится в журнале событий безопасности в средстве просмотра событий сервера Windows. Это строка запроса XML, которую я использую. Где я неправ?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="SourceNetworkAddress"]="1.2.3.4"]]</Select>
</Query>
</QueryList>
Правильный синтаксис ...
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="IpAddress"] and (Data="1.2.3.4")]]</Select>
</Query>
</QueryList>