次の XML を使用してスケジュールされたタスクをトリガーしようとしています:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='TargetInfo']='S']]
</Select>
</Query>
</QueryList>
このクエリは、イベント ビューアーでイベントをフィルター処理するために使用する場合は正常に機能しますが、スケジュールされたタスクで使用するとトリガーされません。
タスク スケジューラで手動で呼び出すと、タスクが実行されます。
タスクをSYSTEM、NT AUTHORITY\LOCAL SERVICEおよびローカル ユーザーとして実行してみました。
のような他のクエリも正常に使用できます*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4648)]]。
代替構文も試してみました*[EventData[Data[@Name='TargetInfo'] and (Data='S')]]。
何が間違っているのでしょうか? ありがとうございます。