olympion
Goto Top

Benutzerdefinierte XML Ereignisabfrage

Hallo zusammen,

ich habe auf einem Fileserver unter F:\Freigaben mehrere Freigaben, bei denen ich die Überwachungs aktiviert habe.

Im Ereignislog habe ich eine Benutzerdefinierte Ansicht, welche die Ereignisse Filtern soll.
Meine XML sieht folgendermasen aus:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[(EventID=4663)]] 
    </Select>
  </Query>
</QueryList>

Nun bekomme ich alle Events mit der ID 4663 angezeigt.
Da ich mehrere Freigaben habe, möchte ich Ansichten weiter filtern und für jede Freigabe eine Ansicht erstellen.
Sprich für F:\Freigaben\Ordner1, F:\Freigaben\Ordner2 etc.

Dafür habe ich die XML wie folgt angepasst:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[EventID=4663]]
      and
      *[EventData[Data[@Name='ObjectName'] and (Data='F:\Freigaben\Ordner1\')]]  
    </Select>
  </Query>
</QueryList>

Allerdings wird mir nun nichts mehr angezeigt. Unter "Sicherheit" wird mir das Event mit dem richtigen Ordner ( ObjectName F:\Freigaben\Ordner1\test.txt) angezeigt.

Kann mir jemand sagen, was bei der XML-Abfrage falsch ist?

Content-ID: 668225

Url: https://administrator.de/contentid/668225

Printed on: October 15, 2024 at 07:10 o'clock

Ted555
Ted555 Sep 18, 2024 updated at 13:49:05 (UTC)
Goto Top
Du kannst nur den "kompletten" Pfad vergleichen , kein Teilvergleich, das supported die XPath Syntax im Eventlog nicht, da musst du mittels Skript gruppieren ...
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[EventID=4663] and EventData[Data[@Name='ObjectName']='F:\Freigaben\Ordner1\test.txt']]</Select>  
  </Query>
</QueryList>
XPath 1.0 limitations