事件檢視器 XML Query 問題

事件檢視器特殊字元 xml query windows powershell

setsuna 2021-03-24 13:27:35 ‧ 1477 瀏覽

分享至

之前在做事件監控時發現一個狀況，就是安全性事件檢視器紀錄中的 "AccessList=%%7680"(舉例)無法直接使用 "%%7680" 做查詢，經過尋找後發現需改用 "%%7680
"作為查詢條件即可成功。

在解答連結中有提到值的意義
-- the Tab

-- newline

-- carriage return
這應該是對應到特殊字元

我的問題是，要怎麼得知在原本的值之後要加上哪些特殊字元? 為什麼是這麼做?
我看過特殊字元裡的字元定義跟舉的例子，這樣最終出來的值不是4個tab字元嗎?

請各位替我解答，感謝。

我剛剛發現貼文後，那些特殊字元無法顯示，請從發問中提到的第一個連結進入觀看，謝謝。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

海綿寶寶

iT邦大神 1 級 ‧ 2021-03-24 15:06:25

最佳解答

要怎麼得知在原本的值之後要加上哪些特殊字元?

你貼的那個解答連結裡的第二個答案就有用程式去抓出來了
的確最後是 4 個 tab 沒錯...

我本來想找找看如何用 start-with / contains 來解決你的問題
不過卻找到這篇說辦不到

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

setsuna iT邦新手 2 級 ‧ 2021-03-25 11:06:51 檢舉

重看了解答二，似乎有點懂了。
%%7680應該不是單純的文字字串。

setsuna iT邦新手 2 級 ‧ 2021-03-25 11:13:02 檢舉

重看了解答二，似乎有點懂了。
%%7680應該不是單純的文字字串。

海綿寶寶 iT邦大神 1 級 ‧ 2021-03-25 11:22:34 檢舉

其實%%7680 是單純的文字字串
只是有些「不可見字元」而已

setsuna iT邦新手 2 級 ‧ 2021-03-25 14:17:06 檢舉

原來如此，感謝你的解答。
我剛剛試了查詢其他含有"%%"的其他欄位，似乎都沒有含「不可見字元」，這AccessList欄位真的有點特殊。

感謝你的解答，謝謝。

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙