0
ich die unten Abfrage haben - ich will es nur user1 & benutzer2 berichten basierend auf ObjektName oder RelativeTargetNameWindows-Ereignisanzeige -> XML -> Benutzerdefinierte Ansicht
Aber es berichtet über alle auf dem ObjektName oder RelativeTargetName basierte Benutzer
Wie kann ich das kontrollieren?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]]
and
*[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]]
or
*[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]]
</Select>
</Query>
</QueryList>