xpath 事件过滤器不工作
xpath event filter not working
我正在尝试创建一个 XPath 事件过滤器以在完成另一个计划任务时执行它。我的 XPath 看起来像这样
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TaskScheduler/Operational">
<Select Path="Microsoft-Windows-TaskScheduler/Operational">
*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
</Select>
<Select Path="Microsoft-Windows-TaskScheduler/Operational">
*[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]]
</Select>
<Select Path="OAlerts">
*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
</Select>
</Query>
</QueryList>
我要查找的事件是这个。
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-TaskScheduler" Guid="{DE7B24EA-73C8-4A09-985D-5BDADCFA9017}" />
<EventID>102</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>102</Task>
<Opcode>2</Opcode>
<Keywords>0x8000000000000001</Keywords>
<TimeCreated SystemTime="2016-07-20T16:14:08.280937900Z" />
<EventRecordID>13055</EventRecordID>
<Correlation ActivityID="{0A2EAFD2-B40E-4C60-A099-80C020CBA547}" />
<Execution ProcessID="1164" ThreadID="6464" />
<Channel>Microsoft-Windows-TaskScheduler/Operational</Channel>
<Computer>GXLT012660.CoyoteLogistics.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="TaskSuccessEvent">
<Data Name="TaskName">\Visual Studio Dark Theme</Data>
<Data Name="UserContext">COYOTELOGISTICS\benjamin.drolet</Data>
<Data Name="InstanceId">{0A2EAFD2-B40E-4C60-A099-80C020CBA547}</Data>
</EventData>
</Event>
每当使用上面的 XPath 查询在事件查看器上创建自定义过滤器时,我都会收到以下错误。
查询中有多个日志有错误。
日志:Microsoft-Windows-TaskScheduler/Operational
错误:指定的查询无效。
这是比较老的,所以我希望你从那时起就找到了答案,但我遇到了同样的问题。
我发现我在查询中使用了错误的单引号,在编辑器中很难区分,但是当我在你的问题中看到 *[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]],我怀疑问题是一样的。
尝试*[EventData[Data[@Name='TaskName'] and (Data='\Visual Studio Dark Theme')]]
我正在尝试创建一个 XPath 事件过滤器以在完成另一个计划任务时执行它。我的 XPath 看起来像这样
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TaskScheduler/Operational">
<Select Path="Microsoft-Windows-TaskScheduler/Operational">
*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
</Select>
<Select Path="Microsoft-Windows-TaskScheduler/Operational">
*[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]]
</Select>
<Select Path="OAlerts">
*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
</Select>
</Query>
</QueryList>
我要查找的事件是这个。
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-TaskScheduler" Guid="{DE7B24EA-73C8-4A09-985D-5BDADCFA9017}" />
<EventID>102</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>102</Task>
<Opcode>2</Opcode>
<Keywords>0x8000000000000001</Keywords>
<TimeCreated SystemTime="2016-07-20T16:14:08.280937900Z" />
<EventRecordID>13055</EventRecordID>
<Correlation ActivityID="{0A2EAFD2-B40E-4C60-A099-80C020CBA547}" />
<Execution ProcessID="1164" ThreadID="6464" />
<Channel>Microsoft-Windows-TaskScheduler/Operational</Channel>
<Computer>GXLT012660.CoyoteLogistics.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="TaskSuccessEvent">
<Data Name="TaskName">\Visual Studio Dark Theme</Data>
<Data Name="UserContext">COYOTELOGISTICS\benjamin.drolet</Data>
<Data Name="InstanceId">{0A2EAFD2-B40E-4C60-A099-80C020CBA547}</Data>
</EventData>
</Event>
每当使用上面的 XPath 查询在事件查看器上创建自定义过滤器时,我都会收到以下错误。
查询中有多个日志有错误。 日志:Microsoft-Windows-TaskScheduler/Operational 错误:指定的查询无效。
这是比较老的,所以我希望你从那时起就找到了答案,但我遇到了同样的问题。
我发现我在查询中使用了错误的单引号,在编辑器中很难区分,但是当我在你的问题中看到 *[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]],我怀疑问题是一样的。
尝试*[EventData[Data[@Name='TaskName'] and (Data='\Visual Studio Dark Theme')]]