Назад | Перейти на главную страницу

Фильтрация средства просмотра событий не работает - неверный запрос

Прежде всего, я хотел бы разглагольствовать о том, насколько тупо сложно искать что-то в журналах событий, но держу пари, что MS меня не слушает, так что на этом все.

Моя проблема заключается в следующем: я пытаюсь выяснить все события, которые имеют это значение (0x84e9c0d) в части данных события. Однако редактор запросов сообщает мне, что «указанный запрос недействителен». Что не так с этим запросом? Я скопировал код прямо из https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security"> 
            *[EventData[Data and (Data=’0x84e9c0d′)]] 
         </Select>
  </Query>
</QueryList>

Совершенно уверен, что ваша проблема:

Data=’0x84e9c0d′

Эти символы кавычек не совпадают, и ни один из этих символов не является символом одинарной кавычки ('), что и ожидается.