Xpath фильтр журнала событий / XML, XSL, XPath, XQuery

2.0.50

Планшетная версия Контакт Правила FAQ Помощь

Гость

Нов. | Гор. | Избр.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / XML, XSL, XPath, XQuery [игнор отключен] [закрыт для гостей] / Xpath фильтр журнала событий / 6 сообщений из 6, страница 1 из 1

30.04.2014, 16:54

#38630422

XPTCH

Гость

Xpath фильтр журнала событий

Мне необходимо отловить событие добавления файла в папку. Аудит включил, все настроил.
В планировщике заданий, создал задачу, применил такой фильтр, все работает на ура.
Мне необходимо отвязаться от названия файла и привязаться к только к папке.
пробовал извратиться так:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
(*[EventData[Data[@Name="ObjectName"] and (contains(Data,"E:\SM_IMPORT\MY_FTP\Event\")]])
and
(*[System[(EventID=4663)]])
and
(*[EventData[Data[@Name="AccessMask"] and (Data='0x2') ]])
</Select>
  </Query>
</QueryList>

Но увы не помогает, выдает ошибку :(

С названием файла все проходит отлично :)
Помогите победить сию штуковину.

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
(*[EventData[Data[@Name="ObjectName"] and (Data="E:\SM\Event\123.txt")]])
and
(*[System[(EventID=4663)]])
and
(*[EventData[Data[@Name="AccessMask"] and (Data='0x2') ]])
</Select>
  </Query>
</QueryList>

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

30.04.2014, 16:57

#38630429

XPTCH

Гость

Xpath фильтр журнала событий

В первом листинге путь не подсократил для форума (просто опечатка)

Код: xml

E:\SM\Event\

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.05.2014, 01:12

#38639319

_Vasilisk_

Участник

Откуда: Украина, Харьков
Сообщения: 13 612
Рейтинг: 0 / 0

Xpath фильтр журнала событий

XPTCH,

Попробуйте через substring()

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

14.05.2014, 23:22

#38641620

XPTCH

Гость

Xpath фильтр журнала событий

_Vasilisk_, спасибо но.... пишет "Запрос задан не верно"

Код: xml

1.
2.
3.
4.
5.
6.
7.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[EventData[(substring(Data, 1, 26)="E:\SM_IMPORT\MY_FTP\Event\")]]
</Select>
  </Query>
</QueryList>

Добавил файл XML из журнала событий
Задача отфильтровать все события в папке E:\SM_IMPORT\MY_FTP\Event\

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2014, 12:45

#38642111

Участник

Откуда: Санкт-Петербург
Сообщения: 4 253
Рейтинг: 0 / 0

Xpath фильтр журнала событий

XPTCH,
Windows Event Log supports a subset of XPath 1.0. There are limitations to what functions work in the query. For instance, you can use the "position", "Band", and "timediff" functions within the query but other functions like "starts-with" and "contains" are not currently supported.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2014, 13:54

#38642211

XPTCH

Гость

Xpath фильтр журнала событий

PA, спасибо за ссылку, ничего мелкомягкие толком не доделают ((, а ведь так было бы удобно мониторить события папки, без сторонних инструментов.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=14&mobile=1&tid=1332362]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	69ms
get topic data:	13ms
get forum data:	3ms
get page messages:	45ms
get tp. blocked users:	2ms
others:	294ms

total:	457ms