Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Разное - Построение запроса события через XPath

Ответить
Настройки темы
Разное - Построение запроса события через XPath

Пользователь


Сообщения: 144
Благодарности: 0

Профиль | Отправить PM | Цитировать

Добрый день!
Подскажите, как построить настраиваемое представление через XPath в просмотрах события windows?
К примеру, необходимо посмотреть когда открывался calc.exe.
XML представление события:
Код: Выделить весь код
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
  <EventID>4688</EventID> 
  <Version>1</Version> 
  <Level>0</Level> 
  <Task>13312</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2014-04-24T13:15:26.589774100Z" /> 
  <EventRecordID>6153865</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="2972" /> 
  <Channel>Security</Channel> 
  <Computer>*</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-5-21-661746261-1348677824-142223018-61023</Data> 
  <Data Name="SubjectUserName">*</Data> 
  <Data Name="SubjectDomainName">*</Data> 
  <Data Name="SubjectLogonId">0x32b808</Data> 
  <Data Name="NewProcessId">0x137c</Data> 
  <Data Name="NewProcessName">C:\Windows\System32\calc.exe</Data> 
  <Data Name="TokenElevationType">%%1938</Data> 
  <Data Name="ProcessId">0xeb0</Data> 
  <Data Name="CommandLine" /> 
  </EventData>
  </Event>
Если построить запрос вот таким образом:
Код: Выделить весь код
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='NewProcessName']]]</Select>
  </Query>
</QueryList>
,то представление выведет все события по созданию любого процесса.
Но как добавить, чтобы процесс был именно "C:\Windows\System32\calc.exe" ?

Отправлено: 17:18, 24-04-2014

 


Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Разное - Построение запроса события через XPath

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
EventID - Уведомление Ист. события: HHCTRL Категория события: Отсутствует. Код события: 1903 cleric1985_n Устранение критических ошибок Windows 7 27-11-2015 16:14
EventID - Код события: 20 Источник события: Windows Update Agent EdLev Устранение критических ошибок Windows 3 12-11-2010 16:19
EventID - Источник события: SceCli, код события: 1202, предупреждение 0x534 Michael Устранение критических ошибок Windows 3 28-01-2009 13:25
EventID - [решено] Источник события:Windows Installer 3.1 Код события: 4379 ozzik Устранение критических ошибок Windows 2 31-10-2007 15:41
Категория события: Доступ к службе каталогов - Код события: 565 Kostyl Microsoft Windows NT/2000/2003 1 19-10-2005 08:33


« Предыдущая тема | Следующая тема »


 
Переход