Запрос Xpath с несколькими ИЛИ не работает для событий Windows

Question

Я использую c ++ для запроса журнала событий, как в примере: https://docs.microsoft.com/en-us/windows/win32/wes/querying-for-events

мой запрос выглядит так:

*[System[EventID=1102 or EventID=4656 or EventID=4690]]

, и эта часть работает просто отлично. Проблема возникает, когда я пытаюсь получить больше идентификаторов событий. Выше 4 перестанут работать. Пример не работает:

*[System[EventID=1102 or EventID=4656 or EventID=4690 or EventID=4658 or EventID=4663]]

Так как я могу запросить несколько идентификаторов событий? Спасибо

Answer 1

Использовать структурированный XML-запрос

#define QUERY \
    L"<QueryList>" \
    L"  <Query Path='Security'>" \
    L"     <Select>Event/System[EventID=1102 or EventID=4656 or EventID=4663 or EventID=4656 or EventID=4690]</Select>" \
    L"  </Query>" \
    L"</QueryList>"