次の方法で共有

イベント クエリとイベント XML

  • [アーティクル]

指定条件に一致した特定イベントを照会して、関心のないイベントをフィルタ処理することができます。たとえば、セキュリティ イベント ログに記録されたすべての重要イベントの情報を取得するには、この条件と一致したイベントを返すクエリを定義できます。

次の例で説明するように、すべてのイベントは XML で表現でき、各イベント XML は、イベント スキーマ (https://go.microsoft.com/fwlink/?LinkID=81771) で検証できます。XPath は XML 要素のツリーを移動して選択できるので、イベント クエリは XPath 式で定義されます。XPath 式に一致したもののうち、XML で定義されたイベントのみが、クエリ結果に返されます。XPath でイベント クエリを定義する方法の詳細については、XPath 構文 (https://go.microsoft.com/fwlink/?LinkId=94637)、および XPath 例 (https://go.microsoft.com/fwlink/?LinkId=94638) を参照してください。

次の XML の例では、イベントを定義しています。

<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-TaskScheduler" 
        Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
    <EventID>310</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>310</Task>
    <Opcode>0</Opcode>
    <Keywords>8000000000000000</Keywords>
    <TimeCreated SystemTime="2006-02-28T21:51:44.754Z" />
    <EventRecordID>7664</EventRecordID>
    <Correlation />
    <Execution ProcessID="1068" ThreadID="1496" />
    <Channel>Microsoft-Windows-TaskScheduler</Channel>
    <Computer>MyComputerName</Computer>
    <Security UserID="S-1-5-14" />
  </System>
  <UserData>
    <TaskEngineProcessStarted 
        xmlns:auto-ns2="https://schemas.microsoft.com/win/2004/08/events" 
        xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <TaskEngineName>S-1-5-14:NT AUTHORITY\Local Service:Interactive:LUA</TaskEngineName>
      <Command>taskeng.exe</Command>
      <ProcessID>6120</ProcessID>
      <ThreadID>5920</ThreadID>
    </TaskEngineProcessStarted>
  </UserData>
</Event>

イベント XML の詳細については、https://go.microsoft.com/fwlink/?LinkId=94642 を参照してください。

イベント クエリで使用する次の XPath 式は、イベント XML が XPath 式の条件に一致するので、このイベントを返します。

  • このクエリは、310 に一致するイベント ID を持ったイベントのみを返します。

     *[System/EventID=310]

  • このクエリは、4 に一致する Level 要素 (System 要素の下) を持つイベントをすべて返します。

     *[System/Level=4]

  • このクエリは、Provider 要素 (System 要素の下) を持つイベントのうち、Microsoft-Windows-TaskScheduler に一致する Name 属性を持ったものをすべて返します。

    *[System/Provider/@Name="Microsoft-Windows-TaskScheduler"]

  • このクエリは、6120 に一致する ProcessID 要素 (UserData 要素の下) を持つイベントをすべて返します。

    *[UserData/ProcessID=6120]

  • このクエリは、UserData 要素を持つイベントをすべて返します。

    *[UserData/*]

イベントを照会する方法の詳細、および XPath クエリの例を確認するには、https://go.microsoft.com/fwlink/?LinkId=94641 を参照してください。

イベント クエリの定義には、EventLogQuery クラスを使用できます。イベントを照会する方法を示す例については、「方法 : イベントを照会する」、「方法 : イベント ログのイベントをサブスクライブする」、および「方法 : イベント情報にアクセスして読み取る」を参照してください。

関連項目

概念

イベント ログのシナリオ
方法 : イベントを照会する
方法 : イベント ログのイベントをサブスクライブする

Send comments about this topic to Microsoft.

Copyright © 2007 by Microsoft Corporation. All rights reserved.