Benutzerdefinierte XML Ereignisabfrage
Hallo zusammen,
ich habe auf einem Fileserver unter F:\Freigaben mehrere Freigaben, bei denen ich die Überwachungs aktiviert habe.
Im Ereignislog habe ich eine Benutzerdefinierte Ansicht, welche die Ereignisse Filtern soll.
Meine XML sieht folgendermasen aus:
Nun bekomme ich alle Events mit der ID 4663 angezeigt.
Da ich mehrere Freigaben habe, möchte ich Ansichten weiter filtern und für jede Freigabe eine Ansicht erstellen.
Sprich für F:\Freigaben\Ordner1, F:\Freigaben\Ordner2 etc.
Dafür habe ich die XML wie folgt angepasst:
Allerdings wird mir nun nichts mehr angezeigt. Unter "Sicherheit" wird mir das Event mit dem richtigen Ordner ( ObjectName F:\Freigaben\Ordner1\test.txt) angezeigt.
Kann mir jemand sagen, was bei der XML-Abfrage falsch ist?
ich habe auf einem Fileserver unter F:\Freigaben mehrere Freigaben, bei denen ich die Überwachungs aktiviert habe.
Im Ereignislog habe ich eine Benutzerdefinierte Ansicht, welche die Ereignisse Filtern soll.
Meine XML sieht folgendermasen aus:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4663)]]
</Select>
</Query>
</QueryList>
Nun bekomme ich alle Events mit der ID 4663 angezeigt.
Da ich mehrere Freigaben habe, möchte ich Ansichten weiter filtern und für jede Freigabe eine Ansicht erstellen.
Sprich für F:\Freigaben\Ordner1, F:\Freigaben\Ordner2 etc.
Dafür habe ich die XML wie folgt angepasst:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[EventID=4663]]
and
*[EventData[Data[@Name='ObjectName'] and (Data='F:\Freigaben\Ordner1\')]]
</Select>
</Query>
</QueryList>
Allerdings wird mir nun nichts mehr angezeigt. Unter "Sicherheit" wird mir das Event mit dem richtigen Ordner ( ObjectName F:\Freigaben\Ordner1\test.txt) angezeigt.
Kann mir jemand sagen, was bei der XML-Abfrage falsch ist?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668225
Url: https://administrator.de/forum/benutzerdefinierte-xml-ereignisabfrage-668225.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
1 Kommentar
Du kannst nur den "kompletten" Pfad vergleichen , kein Teilvergleich, das supported die XPath Syntax im Eventlog nicht, da musst du mittels Skript gruppieren ...
XPath 1.0 limitations
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[EventID=4663] and EventData[Data[@Name='ObjectName']='F:\Freigaben\Ordner1\test.txt']]</Select>
</Query>
</QueryList>