Я ищу способ фильтрации результатов моего windows просмотра событий, используя расширенную фильтрацию с xml.
Я хочу получать результаты только тогда, когда (идентификатор события = 1688 и 'NewProcessName '=' путь к изобретателю '), ИЛИ (идентификатор события = 1689 и' ProcessName '=' путь к изобретателю ') Пока что у меня есть это, но оно не работает. Я не могу понять, как работает оператор or. Я не нашел четкого объяснения того, как xml в расширенной фильтрации работает точно.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[(
[System[band(Keywords,9007199254740992) and EventID=4688]]
And
[EventData[Data[@Name='NewProcessName'] and Data='C:\Program Files\Autodesk\Inventor 2012\Bin\Inventor.exe']]
or
[System[band(Keywords,9007199254740992) and EventID=4689]]
And
[EventData[Data[@Name='ProcessName']
and Data='C:\Program Files\Autodesk\Inventor 2012\Bin\Inventor.exe']]
)]
</Select>
</Query>
</QueryList>