iT邦幫忙

0

事件檢視器 XML Query 問題

之前在做事件監控時發現一個狀況,就是安全性事件檢視器紀錄中的 "AccessList=%%7680"(舉例)無法直接使用 "%%7680" 做查詢,經過尋找後發現需改用 "%%7680
"作為查詢條件即可成功。

解答連結中有提到值的意義
-- the Tab

-- newline

-- carriage return
這應該是對應到特殊字元

我的問題是,要怎麼得知在原本的值之後要加上哪些特殊字元? 為什麼是這麼做?
我看過特殊字元裡的字元定義跟舉的例子,這樣最終出來的值不是4個tab字元嗎?

請各位替我解答,感謝。

我剛剛發現貼文後,那些特殊字元無法顯示,請從發問中提到的第一個連結進入觀看,謝謝。

1 個回答

1
海綿寶寶
iT邦大神 1 級 ‧ 2021-03-24 15:06:25
最佳解答

要怎麼得知在原本的值之後要加上哪些特殊字元?

你貼的那個解答連結裡的第二個答案就有用程式去抓出來了
的確最後是 4 個 tab 沒錯...

我本來想找找看如何用 start-with / contains 來解決你的問題
不過卻找到這篇說辦不到

看更多先前的回應...收起先前的回應...
setsuna iT邦新手 4 級 ‧ 2021-03-25 11:06:51 檢舉

重看了解答二,似乎有點懂了。
%%7680應該不是單純的文字字串。

setsuna iT邦新手 4 級 ‧ 2021-03-25 11:13:02 檢舉

重看了解答二,似乎有點懂了。
%%7680應該不是單純的文字字串。

其實%%7680是單純的文字字串
只是有些「不可見字元」而已

setsuna iT邦新手 4 級 ‧ 2021-03-25 14:17:06 檢舉

原來如此,感謝你的解答。
我剛剛試了查詢其他含有"%%"的其他欄位,似乎都沒有含「不可見字元」,這AccessList欄位真的有點特殊。

感謝你的解答,謝謝。

我要發表回答

立即登入回答