Benutzerdefinierte XML Ereignisabfrage

Hallo zusammen,

ich habe auf einem Fileserver unter F:\Freigaben mehrere Freigaben, bei denen ich die Überwachungs aktiviert habe.

Im Ereignislog habe ich eine Benutzerdefinierte Ansicht, welche die Ereignisse Filtern soll.
Meine XML sieht folgendermasen aus:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[(EventID=4663)]] 
    </Select>
  </Query>
</QueryList>

Nun bekomme ich alle Events mit der ID 4663 angezeigt.
Da ich mehrere Freigaben habe, möchte ich Ansichten weiter filtern und für jede Freigabe eine Ansicht erstellen.
Sprich für F:\Freigaben\Ordner1, F:\Freigaben\Ordner2 etc.

Dafür habe ich die XML wie folgt angepasst:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[EventID=4663]]
      and
      *[EventData[Data[@Name='ObjectName'] and (Data='F:\Freigaben\Ordner1\')]]  
    </Select>
  </Query>
</QueryList>

Allerdings wird mir nun nichts mehr angezeigt. Unter "Sicherheit" wird mir das Event mit dem richtigen Ordner ( ObjectName F:\Freigaben\Ordner1\test.txt) angezeigt.

Kann mir jemand sagen, was bei der XML-Abfrage falsch ist?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 668225

Url: https://administrator.de/contentid/668225

Ausgedruckt am: 26.09.2024 um 22:09 Uhr

1 Kommentar

Du kannst nur den "kompletten" Pfad vergleichen , kein Teilvergleich, das supported die XPath Syntax im Eventlog nicht, da musst du mittels Skript gruppieren ...

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[EventID=4663] and EventData[Data[@Name='ObjectName']='F:\Freigaben\Ordner1\test.txt']]</Select>  
  </Query>
</QueryList>