Event Log XML mit 2 Ereignis IDs mitloggen

Hallo zusammen,

weiß zufällig jemand, wir ich in meine xml abfrage 2 Ereignis-Ids eintragen kann?

Hier die Xml:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID='xxx')]] </Select>
<Select Path="Security">*[System[(EventID='xxx')]]
*[EventData[Data[@Name='xxx'] and (Data='xxx')]]
</Select>
</Query>
</QueryList>

Wenn ich mit "and" arbeite, dann wird abgearbeitet, aber nur die erste ID.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID='xxx')]] and
*[EventData[Data[@Name='xxx'] and (Data='xxx')]]
</Select>
</Query>
</QueryList>

Vielen Dank im Voraus!

Please also mark the comments that contributed to the solution of the article

Content-Key: 361736

Url: https://administrator.de/contentid/361736

Printed on: April 23, 2024 at 14:04 o'clock

3 Comments

Latest comment

Was du damit meinst ist leider nicht ganz klar wenn du einen Eventlog Eintrag suchen willst der zwei bestimmte Merkmale hat dann geht das so.

..........
<Select Path="Security">*[System[(EventID='xxx')] and EventData[Data[@Name='xxx'] and (Data='xxx')]]</Select>  
...........

Ansonsten musst du mit OR arbeiten wenn jedes Merkmal unabhängig voneinander sein soll.

Gruß Sepp

Insgesamt möchte ich ein Anmeldeverhalten prüfen, sozusagen erste Anmeldung und letzte Abmeldung eines bestimmten Users. Deshalb benötige ich den XML Eintrag für E-ID 4626 und 4634.

Vielleicht hast du einen Tipp, wie man dies noch besser lösen könnte?

Da gibt es schon was von Ratiopharm
An- und Abmelde Ereignisse mit Powershell auslesen

German Question XML Development

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment