イベントビューアでアクセスリスト= %% 1537をフィルタリングしようとしています：/

Question

ファイル監査を有効にしましたが、特定のユーザーアクションをフィルタリングできるようにしたいと思います。かなり基本的なXMLフィルターを設定しましたが、機能しないようです。 HandleIdやSubjectUserNameなど、AccessList以外のいくつかのeventdataカテゴリで動作するようになりました。

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] </Select> </Query> </QueryList>

私は以下を見つけようとしています：

<Event> <EventData> <Data Name="AccessList">%%1537</Data> </EventData> </Event>

誰かがいくつかのガイダンスを提供できますか？

Edwin · Accepted Answer


				の後に%%1537を追加する必要があります

	-タブ


-改行

-キャリッジリターン

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] </Select> </Query> </QueryList>

参照： https://social.technet.Microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in- event-viewer？forum = winserverpowershell

Aruna Telshan · Answer

スキーマ値の代わりに16進値を使用できます。

Eg. %%1537 = 0x10000

したがって、クエリは次のようになります。

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='0x10000')]] </Select> </Query> </QueryList>