Xpath фильтр журнала событий / XML, XSL, XPath, XQuery

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / XML, XSL, XPath, XQuery [игнор отключен] [закрыт для гостей] / Xpath фильтр журнала событий

6 сообщений из 6, страница 1 из 1

Xpath фильтр журнала событий

#38630422

XPTCH

Гость

Мне необходимо отловить событие добавления файла в папку. Аудит включил, все настроил.
В планировщике заданий, создал задачу, применил такой фильтр, все работает на ура.
Мне необходимо отвязаться от названия файла и привязаться к только к папке.
пробовал извратиться так:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
(*[EventData[Data[@Name="ObjectName"] and (contains(Data,"E:\SM_IMPORT\MY_FTP\Event\")]])
and
(*[System[(EventID=4663)]])
and
(*[EventData[Data[@Name="AccessMask"] and (Data='0x2') ]])
</Select>
  </Query>
</QueryList>

Но увы не помогает, выдает ошибку :(

С названием файла все проходит отлично :)
Помогите победить сию штуковину.

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
(*[EventData[Data[@Name="ObjectName"] and (Data="E:\SM\Event\123.txt")]])
and
(*[System[(EventID=4663)]])
and
(*[EventData[Data[@Name="AccessMask"] and (Data='0x2') ]])
</Select>
  </Query>
</QueryList>

...

Рейтинг:

0 / 0

30.04.2014, 16:54

| Ответить | Цитировать | Написать

Xpath фильтр журнала событий

#38630429

XPTCH

Гость

В первом листинге путь не подсократил для форума (просто опечатка)

Код: xml

E:\SM\Event\

...

Рейтинг:

0 / 0

30.04.2014, 16:57

| Ответить | Цитировать | Написать

Xpath фильтр журнала событий

#38639319

_Vasilisk_

Участник

Откуда: Украина, Харьков

Сообщения: 13 612

Рейтинг: 0 / 0

XPTCH,

Попробуйте через substring()

...

Рейтинг:

0 / 0

13.05.2014, 01:12

| Ответить | Цитировать | Написать

Xpath фильтр журнала событий

#38641620

XPTCH

Гость

_Vasilisk_, спасибо но.... пишет "Запрос задан не верно"

Код: xml

1.
2.
3.
4.
5.
6.
7.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[EventData[(substring(Data, 1, 26)="E:\SM_IMPORT\MY_FTP\Event\")]]
</Select>
  </Query>
</QueryList>

Добавил файл XML из журнала событий
Задача отфильтровать все события в папке E:\SM_IMPORT\MY_FTP\Event\

...

Рейтинг:

0 / 0

14.05.2014, 23:22

| Ответить | Цитировать | Написать

Xpath фильтр журнала событий

#38642111

Участник

Откуда: Санкт-Петербург

Сообщения: 4 253

Рейтинг: 0 / 0

XPTCH,
Windows Event Log supports a subset of XPath 1.0. There are limitations to what functions work in the query. For instance, you can use the "position", "Band", and "timediff" functions within the query but other functions like "starts-with" and "contains" are not currently supported.

...

Рейтинг:

0 / 0

15.05.2014, 12:45

| Ответить | Цитировать | Написать

Xpath фильтр журнала событий

#38642211

XPTCH

Гость

PA, спасибо за ссылку, ничего мелкомягкие толком не доделают ((, а ведь так было бы удобно мониторить события папки, без сторонних инструментов.

...

Рейтинг:

0 / 0

15.05.2014, 13:54

| Ответить | Цитировать | Написать

6 сообщений из 6, страница 1 из 1

Форумы / XML, XSL, XPath, XQuery [игнор отключен] [закрыт для гостей] / Xpath фильтр журнала событий

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=14&fpage=13&tid=1332362]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	70ms
get topic data:	13ms
get forum data:	3ms
get page messages:	48ms
get tp. blocked users:	2ms
others:	13ms

total:	181ms