olympion
Goto Top

Benutzerdefinierte XML Ereignisabfrage

Hallo zusammen,

ich habe auf einem Fileserver unter F:\Freigaben mehrere Freigaben, bei denen ich die Überwachungs aktiviert habe.

Im Ereignislog habe ich eine Benutzerdefinierte Ansicht, welche die Ereignisse Filtern soll.
Meine XML sieht folgendermasen aus:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[(EventID=4663)]] 
    </Select>
  </Query>
</QueryList>

Nun bekomme ich alle Events mit der ID 4663 angezeigt.
Da ich mehrere Freigaben habe, möchte ich Ansichten weiter filtern und für jede Freigabe eine Ansicht erstellen.
Sprich für F:\Freigaben\Ordner1, F:\Freigaben\Ordner2 etc.

Dafür habe ich die XML wie folgt angepasst:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
      *[System[EventID=4663]]
      and
      *[EventData[Data[@Name='ObjectName'] and (Data='F:\Freigaben\Ordner1\')]]  
    </Select>
  </Query>
</QueryList>

Allerdings wird mir nun nichts mehr angezeigt. Unter "Sicherheit" wird mir das Event mit dem richtigen Ordner ( ObjectName F:\Freigaben\Ordner1\test.txt) angezeigt.

Kann mir jemand sagen, was bei der XML-Abfrage falsch ist?

Content-ID: 668225

Url: https://administrator.de/forum/benutzerdefinierte-xml-ereignisabfrage-668225.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

150704
150704 18.09.2024 aktualisiert um 15:49:05 Uhr
Goto Top
Du kannst nur den "kompletten" Pfad vergleichen , kein Teilvergleich, das supported die XPath Syntax im Eventlog nicht, da musst du mittels Skript gruppieren ...
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[EventID=4663] and EventData[Data[@Name='ObjectName']='F:\Freigaben\Ordner1\test.txt']]</Select>  
  </Query>
</QueryList>
XPath 1.0 limitations