Windows事件查看器 - > XML - >自定义视图
问题描述:
我有下面的查询 - 我希望它基于对象名只有USER1 &用户2或RelativeTargetNameWindows事件查看器 - > XML - >自定义视图
报告,但它基于的对象名或RelativeTargetName所有用户报告
我该如何控制它?
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]]
and
*[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]]
or
*[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]]
</Select>
</Query>
</QueryList>
答
这个工作
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]]
or
*[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]]
</Select>
</Query>
</QueryList>