Windows事件日志XML查询提供意外结果
我试图从安全审核日志中查询某些进程创建事件,我的查询如下所示:Windows事件日志XML查询提供意外结果,windows,xpath,event-log,Windows,Xpath,Event Log,我试图从安全审核日志中查询某些进程创建事件,我的查询如下所示: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe' or Data='C:\Windows\System32\pro
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe' or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
and
*[System[(EventID=4688)]]
</Select>
</Query>
</QueryList>
*[EventData[Data[@Name='NewProcessName']和(Data='C:\Windows\System32\process0.exe'或Data='C:\Windows\System32\process1.exe'或Data='C:\Windows\process2.exe')]
及
*[系统[(EventID=4688)]]
但是,这在Windows Server 2012操作系统上有效,但在Windows 10桌面操作系统上不起作用 我的解决方法是分离搜索属性值,如下所示:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
(*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']]
or
*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
or
*[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
and
*[System[(EventID=4688)]]
</Select>
</Query>
</QueryList>
(*[EventData[Data[@Name='NewProcessName']='C:\Windows\System32\process0.exe']]
或
*[EventData[Data[@Name='NewProcessName']='C:\Windows\process1.exe']]
或
*[EventData[Data[@Name='NewProcessName']='C:\Windows\process2.exe']]
及
*[系统[(EventID=4688)]]