eisern
Goto Top

XML Suche Ereignisanzeige Windows Server

Hallo,
ich bin leider nicht fähig mir eine eigene Suche in der Windows Server Ereignisanzeige zu basteln.

Ich suche nach den Daten EreignisID 4634 und einem TargetUserName Vorname.Nachname

Bisher habe ich den folgenden Ansatz, allerdings nur nach dem TargetUserName.

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[EventData[Data[@Name='TargetUserName'] and (Data='Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Hier bekomme ich zwar den gewünschten Namen, aber nur für die EreignisID 4624, wobei diese ja gar nicht angegeben war? Die Daten scheinen nur aus den Daten "Neue Anmeldung" gezogen zu werden.

Dann habe ich nach diversen Suchen folgendes probiert, bekomme hier aber den Fehler "Die angegebene Abfrage ist ungültig"

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">  
*[System[(EventID=4634)] and Data[@Name = 'TargetUserName'] = 'Vorname.Nachname')]]  
</Select>
  </Query>
</QueryList>

Ich bekomme es also nicht hin und bitte um Unterstützung.

Vielen Dank!
Gruß, Tom

Content-ID: 12123817465

Url: https://administrator.de/forum/xml-suche-ereignisanzeige-windows-server-12123817465.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

12168552861
12168552861 18.04.2024 aktualisiert um 10:36:57 Uhr
Goto Top
Moin.
Du hast den EventData Knoten unterschlagen und eine Klammer zu viel
<QueryList>
  <Query Id="0" Path="Security">    
    <Select Path="Security">*[System[EventID=4634] and EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
XPath Syntax

Gruß
Eisern
Eisern 18.04.2024 um 10:37:02 Uhr
Goto Top
Hallo,
vielen Dank das funktioniert.
Wenn ich jetzt jedoch mal zum besseren Verständnis die ID rausnehmen will, würde ich das ja jetzt so verstehen. Hier erhalte ich aber wieder meinen Fehler "Die angegebene Abfrage ist ungültig"

Wo ist hier mein Fehler?

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">* EventData[Data[@Name='TargetUserName'] = 'Vorname.Nachname']]</Select>  
  </Query>
</QueryList>
12168552861
Lösung 12168552861 18.04.2024 aktualisiert um 10:40:59 Uhr
Goto Top
Wo ist hier mein Fehler?
Eckige Klammer am Anfang vor "EventData" fehlt, einfach mal die Anzahl der einleitenden und schließenden Klammern zählen dann fällt es auch dir auf ...
Kaffee hol ☕.
Eisern
Eisern 18.04.2024 um 11:09:30 Uhr
Goto Top
Das hatte ich übersehen. Vielen Dank und lass Dir den Kaffee schmecken!
12168552861
12168552861 18.04.2024 um 11:10:55 Uhr
Goto Top
Tutto bene, grazie!