Запрос журнала событий Windows XML дает непредвиденные результаты

Question

Я пытаюсь запросить определенные события создания процесса из журналов аудита безопасности, и мой запрос выглядит следующим образом:

 <QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security">
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\process0.exe'  or Data='C:\Windows\System32\process1.exe' or Data='C:\Windows\process2.exe')]]
        and 
        *[System[(EventID=4688)]]
    </Select>
 </Query>
</QueryList>

Это, однако, работает в ОС Windows Server 2012, но не работает в Windows 10 DesktopОПЕРАЦИОННЫЕ СИСТЕМЫ.

Answer 1

Мой обходной путь - разделить значения атрибутов поиска, что-то вроде этого:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        (*[EventData[Data[@Name='NewProcessName'] ='C:\Windows\System32\process0.exe']] 
         or
         *[EventData[Data[@Name='NewProcessName'] ='C:\Windows\process1.exe']]
         or
         *[EventData[Data[@Name='NewProcessName'] = 'C:\Windows\process2.exe']])
        and 
        *[System[(EventID=4688)]]
    </Select>
  </Query>
</QueryList>