Windows事件日志XML查询会产生意想不到的结果

时间:2018-05-13 14:57:25

标签: windows xpath event-log

我正在尝试从安全审核日志查询某些流程创建事件,我的查询如下所示:

 <QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe'  or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
        and 
        *[System[(EventID=4688)]]
    </Select>
 </Query>
</QueryList>

但是,这适用于Windows Server 2012操作系统,但在Windows 10桌面操作系统上不起作用。

1 个答案:

答案 0 :(得分:0)

我的解决方法是分离搜索属性值,如下所示:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        (*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']] 
         or
         *[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
         or
         *[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
        and 
        *[System[(EventID=4688)]]
    </Select>
  </Query>
</QueryList>
相关问题
最新问题