Я пытаюсь запустить запланированную задачу с помощью этого XML:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='TargetInfo']='S']]
</Select>
</Query>
</QueryList>
Этот запрос отлично работает, если я использую его для фильтрации событий в средстве просмотра событий, но никогда не срабатывает при использовании в запланированной задаче.
Задача запускается, если я запускаю ее вручную в Планировщике задач.
Я пробовал запустить задачу как SYSTEMот NT AUTHORITY\LOCAL SERVICEимени локального пользователя.
Я могу успешно использовать другие запросы, например *[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4648)]].
Я также попробовал альтернативный синтаксис *[EventData[Data[@Name='TargetInfo'] and (Data='S')]].
Что я делаю не так? Спасибо.