none
Как отфильтровать с помощью Xpath ID event 1074 только для выключения ПК ?

    Вопрос

  • Есть событие (xml) :

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="USER32" /> 
      <EventID Qualifiers="32768">1074</EventID> 
      <Level>4</Level> 
      <Task>0</Task> 
      <Keywords>0x80000000000000</Keywords> 
      <TimeCreated SystemTime="2014-07-24T11:27:28.000000000Z" /> 
      <EventRecordID>71900</EventRecordID> 
      <Channel>System</Channel> 
      <Computer>PCNAME.domen.local</Computer> 
      <Security UserID="S-1-5-21-2456476473-4187172614-1234818823-1234" /> 
      </System>
    - <EventData>
      <Data>C:\Windows\system32\winlogon.exe (PCNAME)</Data> 
      <Data>PCNAME</Data> 
      <Data>Причина на перечислена</Data> 
      <Data>0x500ff</Data> 
      <Data>Выключение питания</Data> 
      <Data /> 
    <Data>DOMEN\username</Data> 
      <Binary>FF000500000000000000000000000000000000000000000000000000000000000000000000000000</Binary> 
      </EventData>
      </Event>

    Нужно отфильтровать запрос не толко по событию 1074, но и по <Data>Выключение питания</Data> и только это, НЕ Перезапуск компьютера(может быть в том же ID event).
    Это нужно для выполнения программы только по событию "выключение питания"

     Вот фильтр на событие 1074

    <QueryList><Query Id="0" Path="System">
    <Select Path="System">*[System[Provider[@Name='USER32'] and EventID=1074 ]]</Select>
    </Query></QueryList>
    как в этот запрос добавить <Data>Выключение питания</Data> ??


    25 июля 2014 г. 5:32

Ответы

  • Для Windows 8:
    <QueryList>
      <Query Id="0" Path="System">
        <Select Path="System">*[System[Provider[@Name='User32'] and EventID=1074] and EventData[Data[@Name='param5']='Выключение питания']]</Select>
      </Query>
    </QueryList>


    Для Windows 7:
    <QueryList>
      <Query Id="0" Path="System">
        <Select Path="System">*[System[Provider[@Name='User32'] and EventID=1074] and EventData[Data='Выключение питания']]</Select>
      </Query>
    </QueryList>


    • Изменено KazunEditor 25 июля 2014 г. 11:33
    • Помечено в качестве ответа KazunEditor 31 июля 2014 г. 10:51
    25 июля 2014 г. 10:32
    Отвечающий

Все ответы

  • Может быть так?

    <QueryList> <Query Id="0" Path="System"> <Select Path="System">*[System[Provider[@Name='USER32'] and EventID=1074 ] *[EventData[Data[@Name='ObjectName'] and (Data='Выключение питания')]]

    </Select> </Query></QueryList>

    Но на счет ObjectName не уверен...


    • Изменено admin bob 25 июля 2014 г. 6:14
    25 июля 2014 г. 6:14
  • Для Windows 8:
    <QueryList>
      <Query Id="0" Path="System">
        <Select Path="System">*[System[Provider[@Name='User32'] and EventID=1074] and EventData[Data[@Name='param5']='Выключение питания']]</Select>
      </Query>
    </QueryList>


    Для Windows 7:
    <QueryList>
      <Query Id="0" Path="System">
        <Select Path="System">*[System[Provider[@Name='User32'] and EventID=1074] and EventData[Data='Выключение питания']]</Select>
      </Query>
    </QueryList>


    • Изменено KazunEditor 25 июля 2014 г. 11:33
    • Помечено в качестве ответа KazunEditor 31 июля 2014 г. 10:51
    25 июля 2014 г. 10:32
    Отвечающий