Windowsタスクの「イベント時」トリガーにてでTargetUserNameとSubjectUserNameが同一のものという条件を追加することは可能でしょうか

Question

Windowsタスクで「タスクの開始」条件に「イベント時」を指定して、特定のイベントが発生したときにタスクを実行させたいと考えています。

特定のイベントを設定する際に、「カスタム」を選択することで、XML Path形式でより詳細にイベントをフィルタリングできるのですが、TargetUserNameとSubjectUserNameが同じ値のログを抽出するような条件の記載は可能でしょうか。

以下のように設定してみたのですが、クエリーエラーとなってしまいます。

---

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name="TargetUserName"] = [@Name="SubjectUserName"]]]</Select>

</Query>

</QueryList>

---

絞り込み条件は、固定値以外はできないのでしょうか。

以下、MSのサイトでXPath1.0の制限事項の部分を読んでみたのですが、上記内容が制限事項に当たるのかどうか判断できず、質問させていただきます。

https://learn.microsoft.com/ja-jp/windows/win32/wes/consuming-events

よろしくお願いいたします。

Answer 1

表記の解決策が見つからなかったため、「イベント時」というトリガー条件をやめて、任意のイベントIDを検知するスクリプトをシステム起動時に稼働させ、そのスクリプト内で、EventLog内のMessageにある該当文字列を力技で抜き出して比較することにしました。

SubjectUserName

$SubjectAcountLine=($Message.Split("rn") | Select-String "アカウント名")[0]

if($SubjectAcountLine){ $SubjectAcount=$SubjectAcountLine.ToString().Split(":")[1].Trim() }

TargetUserName

$TargettAcountLine=($Message.Split("rn") | Select-String "アカウント名")[1]

if($TargettAcountLine){ $TargettAcount=$TargettAcountLine.ToString().Split(":")[1].Trim() }

if( $SubjectAcount -ne $TargettAcount ){

...

}

ありがとうございました。