Board logo

标题: [系统相关] [已解决]批处理创建计划任务schtasks的触发条件 [打印本页]
作者: bluewing009    时间: 2012-3-16 21:15     标题: [已解决]批处理创建计划任务schtasks的触发条件

请大家教个问题
schtasks创建计划任务
触发为:
日志类型安全,源 windows安全审核,ID=4567

然后我写:
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[Microsoft-Windows-Security-Auditing'/EventID=4567]  
发现结果不是我想要的,应该是 /MO *[Microsoft-Windows-Security-Auditing/EventID=4567]  这段出问题了

请大家帮忙解决一下~
我叙述一下手工操作:
新建计划任务
任务开始  选 “特定时间记录时”
日志 安全 源 windows安全审核,事件ID=4567
手工的就是这么过程
然后想办法用命令实现
作者: powerbat    时间: 2012-3-16 21:23

应该不要那个单引号吧?
作者: bluewing009    时间: 2012-3-16 21:30

回复 2# powerbat


   写多了  但是关键不在这
作者: cjiabing    时间: 2012-3-16 21:31

回复 1# bluewing009

    系统事件日志命令:eventquery、eventtriggers、eventcreate
    http://www.bathome.net/viewthread.php?tid=13547
    你摸索下,然后把你的成功代码发出来共享!~
    另外:schtasks或at执行另外一个比较复杂的命令时,最好把这些命令写入一个bat文件,然后再调用。
作者: find    时间: 2012-3-16 21:41

回复 4# cjiabing


eventquery是XP系统里面的一个VBS脚本,Vista和Win7里面木有
作者: BAT1    时间: 2012-3-16 22:04

木有啊?复制一个过来不是就有了木?
作者: powerbat    时间: 2012-3-16 22:10

试试
  1. SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[Microsoft-Windows-Security-Auditing[EventID=4567]]" 
复制代码
楼上几位都跑偏了。。。
作者: powerbat    时间: 2012-3-16 22:18

我是拿Application事件做的测试,手动创建任务后导出为xml,用IE打开,分析下面这一段
<Select Path="Application">*[System[EventID=1904]]</Select>

蓝色部分应该就是给 /MO 的参数。
作者: bluewing009    时间: 2012-3-17 08:58

回复 8# powerbat


   因为一开始我也是这么导出后分析的,但是,手动创建导出后<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]</Select></Query></QueryList>
然后提取
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]
改编命令为:
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT /EC Security /MO *[System[Provider[@Name='Microsoft-Windows-Security-Auditing']/EventID=4657]]
然后就会发现:
还是不一样
作者: bluewing009    时间: 2012-3-17 08:59

回复 8# powerbat


   不过仁兄倒是给我一个启示  关于""似乎我忘记了一会试试看
作者: bluewing009    时间: 2012-3-17 09:10

本帖最后由 bluewing009 于 2012-3-17 09:12 编辑

问题结束

感谢powerbat 对我的启示~~~

正确写法:
SCHTASKS /Create /TN EventLog /RL Highest /TR wevtvwr.msc /SC ONEVENT /EC Security /MO "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4657]]"   
网上的本来就稀少的教程反而误导我了.............
稍后奉上我的整个程序~



欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2