- 已加入
- 1/20/10
- 訊息
- 39
- 互動分數
- 0
- 點數
- 6
最近架設 win2008 R2的主機當作網路硬碟分享
用途主要用來上課中,學生存取資料 上課作品用的
但是目前設定的 檢視原則 只有 事件檢視碼5145,裡面的資料 一天就可以有上萬筆的資料
最近看到 自訂檢視內容 裡面的 XML 可以藉由手動編輯查詢,只搜尋我要的資料
我是要找 DELETE 刪除檔案的資訊
只想看到 存取 是 DELETE的資料
看了半天的XML碼 只確定是 AccessList ID 1537 問題我XML碼寫不出來
請問有人可以跟我說怎麼寫的嗎
目前看了很多文章 也只能寫到這樣
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='stu')]]
and
*[System[(EventID='5145')]]
</Select>
</Query>
</QueryList>
用途主要用來上課中,學生存取資料 上課作品用的
但是目前設定的 檢視原則 只有 事件檢視碼5145,裡面的資料 一天就可以有上萬筆的資料
最近看到 自訂檢視內容 裡面的 XML 可以藉由手動編輯查詢,只搜尋我要的資料
我是要找 DELETE 刪除檔案的資訊
只想看到 存取 是 DELETE的資料
看了半天的XML碼 只確定是 AccessList ID 1537 問題我XML碼寫不出來
請問有人可以跟我說怎麼寫的嗎
目前看了很多文章 也只能寫到這樣
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='stu')]]
and
*[System[(EventID='5145')]]
</Select>
</Query>
</QueryList>
