Як націлити на подію ім'я процесу, а також ідентифікатор?

2

Мені вдалося створити заплановане завдання, яке буде спровоковано ідентифікатором події. Наприклад, у мене є завдання, яке запускатиме winver.exe кожного разу, коли реєстрація ідентифікатора події 4688. Тож якщо я запускаю notepad.exe з підказки Run, запустіть також winver.exe. Але це означає, що будь-який запущений EXE запустить це завдання, яке, в свою чергу, запускає winver.exe. Це занадто широка сфера застосування. Я хочу це звузити так, що лише тоді, коли потрібна подія 4688 - а саме. cmd.exe або diskpart.exe - реєструється, лише тоді буде запущено завдання.

Чи є якийсь простий спосіб зробити це? Щоб націлити не лише ідентифікатор події, але й попередньо визначене ім'я процесу, яке записує цей ідентифікатор події?

Додатковий скріншот ...

доповнення

scheduled-tasks  event-log  windows-task-scheduler 
Самір
джерело

Відповіді:

1

Здається, що не існує простого (простого) способу зробити це. Це можливо лише шляхом створення спеціального фільтра подій, який буде використовуватися для тригера, використовуючи вирази XPath. Іншими словами, у діалоговому вікні «Редагувати фільтр подій» немає елементів керування графічним інтерфейсом, які допоможуть вибрати конкретне поле даних, наприклад, ім'я процесу для запуску завдання.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
        *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 13312 and (band(Keywords,9007199254740992)) and (EventID=4688)]]
        and
        *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\cmd.exe')]]
</Select>
  </Query>
</QueryList>

Цей приклад запускає завдання виконати дію (запускає winver.exe в моєму випадку) лише тоді, коли введено ідентифікатор події 4688, а поле Нове ім'я процесу містить рядок "C:\Windows\System32\cmd.exe".

Якщо ви хочете зробити щось подібне, але ви хочете, щоб інші поля запустили завдання, погляньте на подію, на яку потрібно націлити. Запустіть eventvwr.mscіз запиту «Запуск» та перейдіть до «Журнали Windows», «Безпека». Двічі клацніть рівним або правою кнопкою миші та натисніть кнопку Властивості подій, щоб відкрити діалогове вікно властивостей. Потім перейдіть на вкладку Деталі та виберіть XML View. Це допоможе вам зрозуміти, які ще поля можна використовувати як цільові. Використовуйте той самий синтаксис, як у наведеному вище прикладі.

Додатковий скріншот ...

властивості події

Самір
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.