如何格式化事件调度任务的XPath？

Question

我已经编写了一个脚本，当用户被授予域管理员权限时，我想要触发该脚本。我无法通过事件查看器触发此操作，因为我们的域控制器在服务器核心上运行，并且当您远程连接到事件查看器时，将任务附加到此事件的选项呈灰色显示。尝试使用SCHTASKS时，我输入以下内容：

SCHTASKS /Create /TN "Event Monitor" /TR $command /SC ONEVENT /RL Highest /RU $cred.Username /RP $password /EC ScriptEvents /MO *[System/EventID=4728]

我得到的错误是The specified channel could not be found。我不知道需要输入什么才能使XPath正确触发。有人能帮上忙吗？以下是该事件的内容：

 <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-54784994-a5ba-3e3b0328c30d}" /> 
  <EventID>4728</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>13826</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2019-05-24T12:11:54.847043800Z" /> 
  <EventRecordID>1050228</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="552" ThreadID="1580" /> 
  <Channel>Security</Channel>

Answer 1

对于那些着眼于未来的人来说，问题出在/MO开关和/EC开关的格式上。下面是我解决这个问题的方法：

SCHTASKS /Create /TN "Event Monitor" /TR $command /SC ONEVENT /RL Highest /RU $cred.Username /RP $password /EC Security /MO "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4728]]"