Прежде всего, я хотел бы разглагольствовать о том, насколько тупо сложно искать что-то в журналах событий, но держу пари, что MS меня не слушает, так что на этом все.
Моя проблема заключается в следующем: я пытаюсь выяснить все события, которые имеют это значение (0x84e9c0d) в части данных события. Однако редактор запросов сообщает мне, что «указанный запрос недействителен». Что не так с этим запросом? Я скопировал код прямо из https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data and (Data=’0x84e9c0d′)]]
</Select>
</Query>
</QueryList>
Совершенно уверен, что ваша проблема:
Data=’0x84e9c0d′
Эти символы кавычек не совпадают, и ни один из этих символов не является символом одинарной кавычки ('
), что и ожидается.