尝试在事件查看器中过滤 AccessList = %%1537 :/

tag-icon tag-icon windows-server-2008-r2 windows-event-log eventviewer xml
尝试在事件查看器中过滤 AccessList = %%1537 :/

我已启用文件审核,并希望能够针对给定的用户操作进行过滤。我已设置了一个非常基本的 XML 过滤器,但似乎无法使其工作。我已将其与 AccessList 以外的几个事件数据类别(例如 HandleId 和 SubjectUserName)配合使用。

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] 
  </Select> 
 </Query> 
</QueryList>

我正在尝试寻找以下内容:

<Event>
 <EventData>
  <Data Name="AccessList">%%1537</Data>
 </EventData>
</Event>

有人能提供一些指导吗?

答案1

您需要&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;在之后添加%%1537

&#x09;-- 标签

&#xA;- 新队

&#xD;-- 回车

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] 
  </Select> 
 </Query> 
</QueryList>

参考:https://social.technet.microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer?forum=winserverpowershell

答案2

您可以使用十六进制值代替架构值,

Eg. %%1537 = 0x10000

因此查询将是,

<QueryList> 
 <Query Id="0" Path="Security"> 
  <Select Path="Security"> 
   *[EventData[Data[@Name='AccessList'] and (Data='0x10000')]] 
  </Select> 
 </Query> 
</QueryList>

相关内容