XML Xpath для Windows событие?

544
supercheetah

Я пытаюсь создать фильтр событий на основе следующего XML-события (пример), но мне кажется, что-то не хватает:

<?xml version="1.0" encoding="utf-8" standalone="yes"?> <Events><Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System> <Provider Name='acvpnui'/> <EventID Qualifiers='25600'>3021</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime='2016-04-08T22:01:57.000000000Z'/> <EventRecordID>35164</EventRecordID> <Channel>Cisco AnyConnect Secure Mobility Client</Channel> <Computer>MyComputerName.domain.com</Computer> <Security/> </System> <EventData> <Data>Message type information sent to the user: Connected to my.vpn.server.com.</Data> </EventData> </Event></Events>

И я использую следующий фильтр XML XPath, но ничего не получаю с ним:

<QueryList> <Query Id="0" Path="Cisco AnyConnect Secure Mobility Client"> <Select Path="Cisco AnyConnect Secure Mobility Client"> Event [System [Provider [@Name='acvpnui'] and (EventID=3021) ] ] [EventData [Data and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')] ] </Select> </Query> </QueryList>

Я мог бы вынуть and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')], но тогда я получаю больше, чем я хочу от фильтра. Как я могу фильтровать для этого конкретного EventData?

0
Есть ли разрыв строки между текстом `user:` и `Connected to my`? Кроме того, не могли бы вы поделиться действительным файлом экспорта в формате `.evtx` из вашей программы просмотра событий? nixda 8 лет назад 0
О, да, есть, поэтому я просто изменил строку на `'Информация о типе сообщения, отправляемая пользователю: Подключено к my.vpn.server.com.'`. supercheetah 8 лет назад 0

0 ответов на вопрос

Похожие вопросы