question

Olá, tenho o seguinte cenário.

Eu gostaria de identificar no filtro do customView do Windows se o campo ServiceName do XML foi preenchido.

Então, eu uso o "*$" como forma de filtro para que qualquer máquina/serviço seja apontado no campo ServiceName seja alarmado.

([EventData[Data[@Name='ServiceName']= '$']])

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (EventID=4769)]]
and
([EventData[Data[@Name='ServiceName']= '*$']])
</Select>
</Query>
</QueryList>

Enfim o uso do regex não funciona aqui. Alguém teria alguma solução para isso?