[已解决]批处理创建计划任务schtasks的触发条件

bluewing009

请大家教个问题
schtasks创建计划任务
触发为：
日志类型安全，源 windows安全审核，ID=4567

然后我写：
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[Microsoft-Windows-Security-Auditing'/EventID=4567]  
发现结果不是我想要的，应该是 /MO *[Microsoft-Windows-Security-Auditing/EventID=4567]  这段出问题了

请大家帮忙解决一下~
我叙述一下手工操作：
新建计划任务
任务开始  选 “特定时间记录时”
日志 安全 源 windows安全审核，事件ID=4567
手工的就是这么过程
然后想办法用命令实现

powerbat

应该不要那个单引号吧？

bluewing009

回复 2# powerbat


   写多了  但是关键不在这

cjiabing

回复 1# bluewing009

    系统事件日志命令：eventquery、eventtriggers、eventcreate
    http://www.bathome.net/viewthread.php?tid=13547
    你摸索下，然后把你的成功代码发出来共享！~
    另外：schtasks或at执行另外一个比较复杂的命令时，最好把这些命令写入一个bat文件，然后再调用。

find

回复 4# cjiabing


eventquery是XP系统里面的一个VBS脚本，Vista和Win7里面木有

BAT1

木有啊？复制一个过来不是就有了木？

powerbat

试试

1. SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[Microsoft-Windows-Security-Auditing[EventID=4567]]"

复制代码

楼上几位都跑偏了。。。

powerbat

我是拿Application事件做的测试，手动创建任务后导出为xml，用IE打开，分析下面这一段

<Select Path="Application">*[System[EventID=1904]]</Select>

蓝色部分应该就是给 /MO 的参数。

bluewing009

回复 8# powerbat


   因为一开始我也是这么导出后分析的，但是，手动创建导出后<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]</Select></Query></QueryList>
然后提取
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]
改编命令为：
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[System[Provider[@Name='Microsoft-Windows-Security-Auditing']/EventID=4657]]
然后就会发现：
还是不一样

bluewing009

回复 8# powerbat


   不过仁兄倒是给我一个启示  关于""似乎我忘记了一会试试看

bluewing009

问题结束

感谢powerbat 对我的启示~~~

正确写法：
SCHTASKS /Create /TN EventLog /RL Highest /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]"   
网上的本来就稀少的教程反而误导我了.............
稍后奉上我的整个程序~