我想在windows事件查看器中使用高级xml过滤功能。 打开文档时,我们收到了'ReadAttributes'事件(4663)和'SYNCHRONIZE | ReadAttribute'事件(4656)。对于每个文件,每秒都会发生这种情况,以检查文件是否有新输入,无法进行调整。
要减少第二个应用程序中的日志量,我需要事件查看器中的XML来过滤这些事件。
在第二个应用程序中,我们可以在原始事件中看到Windows名称字段是两者的AccessList,4663和4656事件。
我试过这个,但它导致零事件:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4663')]]
and
*[EventData[Data[@Name='AccessList'] and (text='ReadAttributes')]]
</Select>
</Query>
</QueryList>
你能帮我找出错误并告诉我如何结合4656事件。