|
|
|
|
| Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Разное - Построение запроса события через XPath |
|
|
Разное - Построение запроса события через XPath
|
|
Пользователь Сообщения: 144 |
Добрый день!
Подскажите, как построить настраиваемое представление через XPath в просмотрах события windows? К примеру, необходимо посмотреть когда открывался calc.exe. XML представление события: Код:
 - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4688</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>13312</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-04-24T13:15:26.589774100Z" />
<EventRecordID>6153865</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="2972" />
<Channel>Security</Channel>
<Computer>*</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-21-661746261-1348677824-142223018-61023</Data>
<Data Name="SubjectUserName">*</Data>
<Data Name="SubjectDomainName">*</Data>
<Data Name="SubjectLogonId">0x32b808</Data>
<Data Name="NewProcessId">0x137c</Data>
<Data Name="NewProcessName">C:\Windows\System32\calc.exe</Data>
<Data Name="TokenElevationType">%%1938</Data>
<Data Name="ProcessId">0xeb0</Data>
<Data Name="CommandLine" />
</EventData>
</Event>
Код:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='NewProcessName']]]</Select>
</Query>
</QueryList>
Но как добавить, чтобы процесс был именно "C:\Windows\System32\calc.exe" ? |
|
|
Отправлено: 17:18, 24-04-2014 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| EventID - Уведомление Ист. события: HHCTRL Категория события: Отсутствует. Код события: 1903 | cleric1985_n | Устранение критических ошибок Windows | 7 | 27-11-2015 16:14 | |
| EventID - Код события: 20 Источник события: Windows Update Agent | EdLev | Устранение критических ошибок Windows | 3 | 12-11-2010 16:19 | |
| EventID - Источник события: SceCli, код события: 1202, предупреждение 0x534 | Michael | Устранение критических ошибок Windows | 3 | 28-01-2009 13:25 | |
| EventID - [решено] Источник события:Windows Installer 3.1 Код события: 4379 | ozzik | Устранение критических ошибок Windows | 2 | 31-10-2007 15:41 | |
| Категория события: Доступ к службе каталогов - Код события: 565 | Kostyl | Microsoft Windows NT/2000/2003 | 1 | 19-10-2005 08:33 | |
|
|
Время: 05:24. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
