XML Suche Ereignisanzeige Windows Server
Hallo,
ich bin leider nicht fähig mir eine eigene Suche in der Windows Server Ereignisanzeige zu basteln.
Ich suche nach den Daten EreignisID 4634 und einem TargetUserName Vorname.Nachname
Bisher habe ich den folgenden Ansatz, allerdings nur nach dem TargetUserName.
Hier bekomme ich zwar den gewünschten Namen, aber nur für die EreignisID 4624, wobei diese ja gar nicht angegeben war? Die Daten scheinen nur aus den Daten "Neue Anmeldung" gezogen zu werden.
Dann habe ich nach diversen Suchen folgendes probiert, bekomme hier aber den Fehler "Die angegebene Abfrage ist ungültig"
Ich bekomme es also nicht hin und bitte um Unterstützung.
Vielen Dank!
Gruß, Tom
ich bin leider nicht fähig mir eine eigene Suche in der Windows Server Ereignisanzeige zu basteln.
Ich suche nach den Daten EreignisID 4634 und einem TargetUserName Vorname.Nachname
Bisher habe ich den folgenden Ansatz, allerdings nur nach dem TargetUserName.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='TargetUserName'] and (Data='Vorname.Nachname')]]
</Select>
</Query>
</QueryList>
Hier bekomme ich zwar den gewünschten Namen, aber nur für die EreignisID 4624, wobei diese ja gar nicht angegeben war? Die Daten scheinen nur aus den Daten "Neue Anmeldung" gezogen zu werden.
Dann habe ich nach diversen Suchen folgendes probiert, bekomme hier aber den Fehler "Die angegebene Abfrage ist ungültig"
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4634)] and Data[@Name = 'TargetUserName'] = 'Vorname.Nachname')]]
</Select>
</Query>
</QueryList>
Ich bekomme es also nicht hin und bitte um Unterstützung.
Vielen Dank!
Gruß, Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12123817465
Url: https://administrator.de/forum/xml-suche-ereignisanzeige-windows-server-12123817465.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Du hast den
XPath Syntax
Gruß
Du hast den
EventData
Knoten unterschlagen und eine Klammer zu viel<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[EventID=4634] and EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>
</Query>
</QueryList>
Gruß
Wo ist hier mein Fehler?
Eckige Klammer am Anfang vor "EventData" fehlt, einfach mal die Anzahl der einleitenden und schließenden Klammern zählen dann fällt es auch dir auf ...Kaffee hol ☕.
Tutto bene, grazie!