wiznv
25-07-2014, 15:23
Есть иобытие:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="USER32" />
<EventID Qualifiers="32768">1074</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-07-24T11:27:28.000000000Z" />
<EventRecordID>71900</EventRecordID>
<Channel>System</Channel>
<Computer>PCNAME.domen.local</Computer>
<Security UserID="S-1-5-21-2456476473-4187172614-1234818823-1234" />
</System>
- <EventData>
<Data>C:\Windows\system32\winlogon.exe (PCNAME)</Data>
<Data>PCNAME</Data>
<Data>Причина на перечислена</Data>
<Data>0x500ff</Data>
<Data>Выключение питания</Data>
<Data />
<Data>DOMEN\username</Data>
<Binary>FF000500000000000000000000000000000000000000000000000000000000000000000000000000</Binary>
</EventData>
</Event>
Т.к. событие 1074 включает в себя несколько "подсобытий" ( перезапуск, выключение питания) Нужно отфильтровать запрос не толко по событию 1074,
но и по <Data>Выключение питания</Data> и только это, НЕ Перезапуск компьютера.
Это нужно для выполнения программы только по событию "выключение питания"
Вот фильтр на событие 1074
<QueryList><Query Id="0" Path="System">
<Select Path="System">*[System[Provider[@Name='USER32'] and EventID=1074 ]]</Select>
</Query></QueryList>
Как туда добавить <Data>Выключение питания</Data> ?
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="USER32" />
<EventID Qualifiers="32768">1074</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-07-24T11:27:28.000000000Z" />
<EventRecordID>71900</EventRecordID>
<Channel>System</Channel>
<Computer>PCNAME.domen.local</Computer>
<Security UserID="S-1-5-21-2456476473-4187172614-1234818823-1234" />
</System>
- <EventData>
<Data>C:\Windows\system32\winlogon.exe (PCNAME)</Data>
<Data>PCNAME</Data>
<Data>Причина на перечислена</Data>
<Data>0x500ff</Data>
<Data>Выключение питания</Data>
<Data />
<Data>DOMEN\username</Data>
<Binary>FF000500000000000000000000000000000000000000000000000000000000000000000000000000</Binary>
</EventData>
</Event>
Т.к. событие 1074 включает в себя несколько "подсобытий" ( перезапуск, выключение питания) Нужно отфильтровать запрос не толко по событию 1074,
но и по <Data>Выключение питания</Data> и только это, НЕ Перезапуск компьютера.
Это нужно для выполнения программы только по событию "выключение питания"
Вот фильтр на событие 1074
<QueryList><Query Id="0" Path="System">
<Select Path="System">*[System[Provider[@Name='USER32'] and EventID=1074 ]]</Select>
</Query></QueryList>
Как туда добавить <Data>Выключение питания</Data> ?