Question

我正在编写一个事件，当从机器上拔下特定的USB钥匙以锁定它时会触发该事件。我可以使用Get-WinEvent在PowerShell中运行以下罚款，我得到了我期待的结果。

*[System[(EventID=2102)]] and *[UserData[UMDFHostDeviceRequest[@instance="SWD\WPDBUSENUM\_??_USBSTOR`#DISK&VEN_&PROD_&REV_PMAP#070732AAB9D7B007&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}"]]]

但是，将其插入“编辑事件过滤器”查询会导致“指定的事件日志查询无效”。是什么赋予了？整个过滤器是这样的：

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
    <Select Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
*[System[(EventID=2102)]] and *[UserData[UMDFHostDeviceRequest[@instance="SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_&PROD_&REV_PMAP#070732AAB9D7B007&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}"]]]
    </Select>
  </Query>
</QueryList>

谢谢！

Answer 1

由于原始QueryList字符，您的XML &格式不正确。

请尝试&代替&的四次出现。

为什么这个XPath在PowerShell中工作但在Task Scheduler中不起作用？

1 个答案: