我似乎无法让事件查看器过滤 Windows 服务器事件查看器中的安全事件日志中的源 IP 地址。这是我正在使用的 XML 查询字符串。我哪里做错了?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="SourceNetworkAddress"]="1.2.3.4"]]</Select>
</Query>
</QueryList>
答案1
正确的语法...
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="IpAddress"] and (Data="1.2.3.4")]]</Select>
</Query>
</QueryList>