Fatal编程技术网
  • windows/
  • Windows事件日志XML查询提供意外结果

Windows事件日志XML查询提供意外结果

windows xpath

Windows事件日志XML查询提供意外结果,windows,xpath,event-log,Windows,Xpath,Event Log,我试图从安全审核日志中查询某些进程创建事件,我的查询如下所示: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe' or Data='C:\Windows\System32\pro

我试图从安全审核日志中查询某些进程创建事件,我的查询如下所示:

 <QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe'  or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
        and 
        *[System[(EventID=4688)]]
    </Select>
 </Query>
</QueryList>


*[EventData[Data[@Name='NewProcessName']和(Data='C:\Windows\System32\process0.exe'或Data='C:\Windows\System32\process1.exe'或Data='C:\Windows\process2.exe')]
及
*[系统[(EventID=4688)]]
但是,这在Windows Server 2012操作系统上有效,但在Windows 10桌面操作系统上不起作用

我的解决方法是分离搜索属性值,如下所示:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        (*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']] 
         or
         *[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
         or
         *[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
        and 
        *[System[(EventID=4688)]]
    </Select>
  </Query>
</QueryList>


(*[EventData[Data[@Name='NewProcessName']='C:\Windows\System32\process0.exe']]
或
*[EventData[Data[@Name='NewProcessName']='C:\Windows\process1.exe']]
或
*[EventData[Data[@Name='NewProcessName']='C:\Windows\process2.exe']]
及
*[系统[(EventID=4688)]]