[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[系统相关] [已解决]批处理创建计划任务schtasks的触发条件

请大家教个问题
schtasks创建计划任务
触发为:
日志类型安全,源 windows安全审核,ID=4567

然后我写:
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[Microsoft-Windows-Security-Auditing'/EventID=4567]  
发现结果不是我想要的,应该是 /MO *[Microsoft-Windows-Security-Auditing/EventID=4567]  这段出问题了

请大家帮忙解决一下~
我叙述一下手工操作:
新建计划任务
任务开始  选 “特定时间记录时”
日志 安全 源 windows安全审核,事件ID=4567
手工的就是这么过程
然后想办法用命令实现
1

评分人数

    • CrLf: 感谢给帖子标题标注[已解决]字样PB + 2

应该不要那个单引号吧?

TOP

回复 2# powerbat


   写多了  但是关键不在这

TOP

回复 1# bluewing009

    系统事件日志命令:eventquery、eventtriggers、eventcreate
    http://www.bathome.net/viewthread.php?tid=13547
    你摸索下,然后把你的成功代码发出来共享!~
    另外:schtasks或at执行另外一个比较复杂的命令时,最好把这些命令写入一个bat文件,然后再调用。
1

评分人数

    • CrLf: 乐于助人PB + 5
寂寞是黑白的,但黑白不是寂寞,是永恒。BAT 需要的不是可能,而是智慧。

TOP

回复 4# cjiabing


eventquery是XP系统里面的一个VBS脚本,Vista和Win7里面木有
1

评分人数

    • CrLf: 乐于助人PB + 3

TOP

木有啊?复制一个过来不是就有了木?

TOP

试试
  1. SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[Microsoft-Windows-Security-Auditing[EventID=4567]]"
复制代码
楼上几位都跑偏了。。。

TOP

我是拿Application事件做的测试,手动创建任务后导出为xml,用IE打开,分析下面这一段
<Select Path="Application">*[System[EventID=1904]]</Select>

蓝色部分应该就是给 /MO 的参数。
1

评分人数

    • CrLf: 乐于助人技术 + 1

TOP

回复 8# powerbat


   因为一开始我也是这么导出后分析的,但是,手动创建导出后<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]</Select></Query></QueryList>
然后提取
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]
改编命令为:
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[System[Provider[@Name='Microsoft-Windows-Security-Auditing']/EventID=4657]]
然后就会发现:
还是不一样

TOP

回复 8# powerbat


   不过仁兄倒是给我一个启示  关于""似乎我忘记了一会试试看

TOP

本帖最后由 bluewing009 于 2012-3-17 09:12 编辑

问题结束

感谢powerbat 对我的启示~~~

正确写法:
SCHTASKS /Create /TN EventLog /RL Highest /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]"   
网上的本来就稀少的教程反而误导我了.............
稍后奉上我的整个程序~

TOP

返回列表