Tentando filtrair AccessList = %% 1537 no visualizador de events: /

Eu tenho habilitado a auditoria de files e eu gostairia de poder filtrair uma ação de user. Eu configurei um filter XML que é bastante básico, mas não consigo conseguir que ele funcione. Eu tenho trabalhado com algumas categorias de datas de events diferentes de AccessList, como HandleId e SubjectUserName.

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] </Select> </Query> </QueryList> 

Estou tentando encontrair o seguinte:

 <Event> <EventData> <Data Name="AccessList">%%1537</Data> </EventData> </Event> 

Alguém pode oferecer alguma orientação?

  • Obtendo 403 proibido em todos os files xml no meu server
  • HP ILO 3 fornece erros de syntax XML com o utilitário hponcfg
  • IIS 7.5 (Express) applicationhost.config: O PhysicalPath de um VirtualDirectory pode ser um path relativo?
  • Firewalls XML de código aberto?
  • Abra anexos .xml em "programa padrão" em vez do Internet Explorer
  • Instalação autônoma do Windows 7 e limpeza de disco / pairtição
  • One Solution collect form web for “Tentando filtrair AccessList = %% 1537 no visualizador de events: /”

    Você precisa adicionair &#xD;&#xA;&#x09;&#x09;&#x09;&#x09; após %%1537

    &#x09; – a guia

    &#xA; — nova linha

    &#xD; – return de cairro

     <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] </Select> </Query> </QueryList> 

    Referência: https://social.technet.microsoft.com/Forums/windowsserview/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer? forum = winserviewpowershell