Windowsのイベントビューアーのセキュリティログで、失敗の監査のうちログオンプロセスが「Advapi」以外のものを抽出しようとしてハマったのでメモして共有します。
結論としては以下でできました。
「現在のログをフィルター」ダイアログでXMLタブを選択。「手動でクエリを編集する」にチェックを入れて以下XMLを入力しました。
フィルター
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[band(Keywords,4503599627370496)]
and EventData[Data[@Name="LogonProcessName"]!="Advapi "]]</Select>
</Query>
</QueryList>
フィルタの条件の「Advapi 」のところ、最後にスペースが2つついているのですが、イベントビューアーではこれが確認できなかったためドハマりしました。
試行錯誤中にイベントをテキストとしてコピーして、テキストエディタに貼り付けたときにこのスペースを発見。フィルタの条件にも追加したら無事に抽出できました!