Я пытаюсь создать фильтр событий на основе следующего XML-события (пример), но мне кажется, что-то не хватает:
<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<Events><Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
<System>
<Provider Name='acvpnui'/>
<EventID Qualifiers='25600'>3021</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime='2016-04-08T22:01:57.000000000Z'/>
<EventRecordID>35164</EventRecordID>
<Channel>Cisco AnyConnect Secure Mobility Client</Channel>
<Computer>MyComputerName.domain.com</Computer>
<Security/>
</System>
<EventData>
<Data>Message type information sent to the user:
Connected to my.vpn.server.com.</Data>
</EventData>
</Event></Events>
И я использую следующий фильтр XML XPath, но ничего не получаю с ним:
<QueryList>
<Query Id="0" Path="Cisco AnyConnect Secure Mobility Client">
<Select Path="Cisco AnyConnect Secure Mobility Client">
Event
[System
[Provider
[@Name='acvpnui'] and (EventID=3021)
]
]
[EventData
[Data and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')]
]
</Select>
</Query>
</QueryList>
Я мог бы вынуть and (Data='Message type information sent to the user: Connected to my.vpn.server.com.')]
, Но затем я получил больше, чем хотел от фильтра. Как я могу фильтровать для этого конкретного EventData?