Ereignisabfragen und Ereignis-XML-Code
Sie können bestimmte Ereignisse abfragen, die einem bestimmten Kriterium entsprechen, um Ereignisse auszufiltern, an denen Sie nicht interessiert sind. Um Informationen zu allen kritischen Ereignissen abzufragen, die im Sicherheitsereignisprotokoll protokolliert werden, können Sie beispielsweise eine Abfrage definieren, die Ereignisse zurückgibt, die diesem Kriterium entsprechen.
Alle Ereignisse können mit XML-Code dargestellt werden (wie im folgenden Beispiel beschrieben), und jeder Ereignis-XML-Code kann mithilfe des Ereignisschemas (https://go.microsoft.com/fwlink/?LinkID=81771) überprüft werden. Ereignisabfragen werden mit XPath-Ausdrücken definiert, weil XPath die Möglichkeit bietet, eine Struktur von XML-Elementen auszuwählen und darin zu navigieren. Nur Ereignisse, die durch XML-Code definiert sind und mit dem XPath-Ausdruck übereinstimmen, werden in der Abfrage als Ergebnisse zurückgegeben. Weitere Informationen zur Verwendung von XPath zum Definieren von Ereignisabfragen finden Sie unter "XPath Syntax" auf https://go.microsoft.com/fwlink/?LinkId=94637 und unter "XPath Examples" auf https://go.microsoft.com/fwlink/?LinkId=94638.
Mit folgendem XML-Beispielcode wird ein Ereignis definiert.
<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-TaskScheduler"
Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
<EventID>310</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>310</Task>
<Opcode>0</Opcode>
<Keywords>8000000000000000</Keywords>
<TimeCreated SystemTime="2006-02-28T21:51:44.754Z" />
<EventRecordID>7664</EventRecordID>
<Correlation />
<Execution ProcessID="1068" ThreadID="1496" />
<Channel>Microsoft-Windows-TaskScheduler</Channel>
<Computer>MyComputerName</Computer>
<Security UserID="S-1-5-14" />
</System>
<UserData>
<TaskEngineProcessStarted
xmlns:auto-ns2="https://schemas.microsoft.com/win/2004/08/events"
xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
<TaskEngineName>S-1-5-14:NT AUTHORITY\Local Service:Interactive:LUA</TaskEngineName>
<Command>taskeng.exe</Command>
<ProcessID>6120</ProcessID>
<ThreadID>5920</ThreadID>
</TaskEngineProcessStarted>
</UserData>
</Event>
Weitere Informationen zu Ereignis-XML-Code finden Sie unter https://go.microsoft.com/fwlink/?LinkId=94642.
Wenn der folgende XPath-Ausdruck in einer Ereignisabfrage verwendet wird, wird dieses Ereignis zurückgegeben, weil der Ereignis-XML-Code den Kriterien im XPath-Ausdruck entspricht:
Die folgende Abfrage gibt nur Ereignisse mit einer Ereignis-ID von "310" zurück:
*[System/EventID=310]Die folgende Abfrage gibt alle Ereignisse zurück, deren Level-Element (unterhalb des System-Elements) den Wert "4" hat:
*[System/Level=4]Die folgende Abfrage gibt alle Ereignisse zurück, deren Provider-Element (unterhalb des System-Elements) ein Name-Attribut mit dem Wert "Microsoft-Windows-TaskScheduler" hat:
*[System/Provider/@Name="Microsoft-Windows-TaskScheduler"]Die folgende Abfrage gibt alle Ereignisse zurück, deren ProcessID-Element (unterhalb des UserData-Elements) den Wert "6120" hat:
*[UserData/ProcessID=6120]Die folgende Abfrage gibt alle Ereignisse zurück, die über ein UserData-Element verfügen:
*[UserData/*]
Weitere Informationen zum Abfragen von Ereignissen sowie XPath-Beispielabfragen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=94641.
Sie können Ereignisabfragen auch mithilfe der EventLogQuery-Klasse definieren. Beispiele zum Abfragen von Ereignissen finden Sie unter Verfahrensweise: Abfrage von Ereignissen, Verfahrensweise: Abonnieren von Ereignissen in einem Ereignisprotokoll und Verfahrensweise: Zugreifen auf und Lesen von Ereignisinformationen.
Siehe auch
Konzepte
Ereignisprotokollszenarien
Verfahrensweise: Abfrage von Ereignissen
Verfahrensweise: Abonnieren von Ereignissen in einem Ereignisprotokoll
Send comments about this topic to Microsoft.
Copyright © 2007 Microsoft Corporation. Alle Rechte vorbehalten.