Windows-Ereignisanzeige -> XML -> Benutzerdefinierte Ansicht

ich die unten Abfrage haben - ich will es nur user1 & benutzer2 berichten basierend auf ObjektName oder RelativeTargetNameWindows-Ereignisanzeige -> XML -> Benutzerdefinierte Ansicht

Aber es berichtet über alle auf dem ObjektName oder RelativeTargetName basierte Benutzer

Wie kann ich das kontrollieren?

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    and 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] 
    </Select> 
    </Query> 
</QueryList>

Quelle

2016-08-17 scopa

Das funktionierte

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    </Select> 
    </Query> 
</QueryList>

Quelle

2016-08-17 18:33:06 scopa

Windows-Ereignisanzeige -> XML -> Benutzerdefinierte Ansicht

Antwort

Verwandte Themen