有人知道如何编写正确的 XPath 查询来过滤 Windows 2008 R2 事件日志(“应用程序”部分)中的某些应用程序池错误吗?
应用程序事件日志的 XML 视图中的 EventData 不包含数据描述:
来自应用程序的事件:
- <EventData>
<Data>3005</Data>
<Data>An unhandled exception has occurred.</Data>
<Data>2011-04-30 13:53:42</Data>
<Data>2011-04-30 11:53:42</Data>
<Data>38b8155b8def46c2b326776135f21ab6</Data>
<Data>1520</Data>
<Data>469</Data>
<Data>w3wp.exe</Data>
<Data>SERVERNAME\usernamefromwebsiteapplicatiopool</Data>
<Data>NullReferenceException</Data>
安全事件:
<EventData>
<Data Name="TargetUserSid">S-1-5-21-775773886-3418497561-2363255987-1293</Data>
<Data Name="TargetUserName">someusername</Data>
<Data Name="TargetDomainName">servername</Data>
有谁知道如何编写 XPath 查询(我想创建自定义视图)来从包含特定应用程序池用户名的应用程序部分中过滤事件日志条目(在此示例中为“SERVERNAME\usernamefromwebsiteapplicatiopool”)。
谢谢
答案1
我已经解决了我的问题:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[EventData[(Data[17]='SERVERNAME\applicationpoolname')]]</Select>
</Query>
</QueryList>