服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 尝试在事件查看器中过滤AccessList = %% 1537:/
Intereting Posts
Windows 2008 R2上的帐户无法login消息 在RedHat集群中禁用防护 通过LFN,TCP上传速度减慢到Internet authentication电子邮件以获得更可靠的交付 调整交换分区大小(RHEL 5.x) 有没有人设法在64位Windows上安装HP All-In-One打印机 使用rsync在Windows服务器之间迁移文件:Excel电子表格存在问题 nginx从memcached返回损坏的数据 VMware ESX服务器 如果虚拟机在另一台机器上运行,虚拟机上的Windows /其他许可软件是否工作? 快照导出和虚拟机导出之间的差异,用于备份目的 如何从Windows Server 2008中的XML导入多个任务? GPO启动脚本能否启动后台进程并立即退出? Nginx将端口redirect到url Haproxy更改url的一部分

尝试在事件查看器中过滤AccessList = %% 1537:/

我已经启用了文件审计,我希望能够筛选给定的用户操作。 我已经build立了一个非常基本的XMLfilter,但我似乎无法得到它的工作。 我已经有了一些除AccessList以外的事件数据类别,如HandleId和SubjectUserName。 

<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537')]] </Select> </Query> </QueryList>

我试图find以下内容: 

 <Event> <EventData> <Data Name="AccessList">%%1537</Data> </EventData> </Event>

任何人可以提供一些指导?

您需要添加&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;%%1537

&#x09; – 标签

&#xA; – 新队

&#xD; – 回车 

 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessList'] and (Data='%%1537&#xD;&#xA;&#x09;&#x09;&#x09;&#x09;')]] </Select> </Query> </QueryList>

参考: https : //social.technet.microsoft.com/Forums/windowsserver/en-US/bd136cf0-fb9e-48a1-ae2f-3cd4290ab973/issue-with-custom-build-xml-query-in-event-viewer?论坛= winserverpowershell