Windows 事件查看器:在 xPath 中使用通配符筛选特定文件扩展名

Windows Event Viewer: filter for specific file extension with wildcard in xPath

提问人:klediooo 提问时间:11/6/2023 更新时间:11/6/2023 访问量:23

问:

操作系统: Windows server 2012 r2

我们想要跟踪对特定文件的访问:打开哪些文件以及打开频率如何?因此,我们启动了 Windows 事件日志。问题是文件夹的所有文件都被跟踪,而不仅仅是我们想要的特定文件扩展名:.rpt

有两个问题

  1. 我们是否可以只在事件日志激活之前监视特定的文件扩展名?否则,我们的事件日志实际上充满了我们不需要的文件(并扩展了最大的空间)
  2. 如果 1 是不可能的:如何在现有事件日志上筛选特定文件扩展名?

我设法过滤了特定文件,但不能使用通配符(例如,使用包含函数或 * 或 %)。为此,我使用了 XPath 格式的 XML 过滤器。它看起来像这样:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4656 or EventID=4663)]]
      and
      *[EventData[Data[@Name='ObjectName'] = 'A:\Server\Folder\SubFolder\File.rpt']] 
    </Select>
  </Query>
</QueryList>

是否可以在 Windows 事件日志中使用通配符?如果是,如何?当您有其他想法时,也请分享如何跟踪文件的访问以及访问多少?(免费/便宜)

XML Windows XPath 日志事件 查看器

评论

答: 暂无答案

上一个:如何在生成的HTML5预设输出中使用DITA地图的“数据”元素(AEM指南)

下一个:为什么 XPath 表达式返回一个只有一个子元素的元素?