XML Xpath für Windows-Ereignis?

662
supercheetah

Ich versuche, einen Ereignisfilter basierend auf der folgenden Ereignis-XML zu erstellen (ein Beispiel), aber mir schien etwas zu fehlen:

<?xml version="1.0" encoding="utf-8" standalone="yes"?> <Events><Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System> <Provider Name='acvpnui'/> <EventID Qualifiers='25600'>3021</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime='2016-04-08T22:01:57.000000000Z'/> <EventRecordID>35164</EventRecordID> <Channel>Cisco AnyConnect Secure Mobility Client</Channel> <Computer>MyComputerName.domain.com</Computer> <Security/> </System> <EventData> <Data>Message type information sent to the user: Connected to my.vpn.server.com.</Data> </EventData> </Event></Events>

Ich verwende den folgenden XML-XPath-Filter, bekomme aber nichts davon zurück:

<QueryList> <Query Id="0" Path="Cisco AnyConnect Secure Mobility Client"> <Select Path="Cisco AnyConnect Secure Mobility Client"> Event [System [Provider [@Name='acvpnui'] and (EventID=3021) ] ] [EventData [Data and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')] ] </Select> </Query> </QueryList>

Ich könnte herausnehmen and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')], aber dann bekomme ich mehr als ich will vom Filter. Wie kann ich nach bestimmten EventData filtern?

0
Gibt es einen Zeilenumbruch zwischen dem Text `to the user:` und `Connected to my`? Könnten Sie auch eine gültige Exportdatei im `.evtx`-Format über Ihre Ereignisanzeige freigeben? nixda vor 8 Jahren 0
Oh ja, das ist der Fall, also habe ich die Zeichenfolge in "Nachrichtentyp-Informationen, die an den Benutzer gesendet wurden, geändert: Verbunden mit my.vpn.server.com.". supercheetah vor 8 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme