Windowsイベントビューア - > XML - >カスタムビュー

Question

私は、以下のクエリを持っている - 私はそれがObjectNameのかRelativeTargetNameに基づいてのみUSER1 & user2の上

を報告したい。しかし、それは、objectNameにまたはRelativeTargetNameに基づいて、すべてのユーザーに報告します

これをどのように制御できますか？

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    and 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] 
    </Select> 
    </Query> 
</QueryList> 

Answer 1

これは

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    </Select> 
    </Query> 
</QueryList> 

を働いた