Вопрос по фильтру журнала виндовс.
Пытаюсь отфильтровать событие старта сервера постгре, чтоб на основе фильтра создать задачу отправки сообщения в тг, что служба сервера стартанула.
вот само событие в XML:
<Events>
<System>
<Provider Name="PostgreSQL"/>
<EventID Qualifiers="0">0</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2025-08-27T03:15:26.5858838Z"/>
<EventRecordID>115106</EventRecordID>
<Correlation/>
<Execution ProcessID="0" ThreadID="0"/>
<Channel>Application</Channel>
<Computer>SQL.alcon.loc</Computer>
<Security/>
</System>
<EventData>
<Data>Server started and accepting connections </Data>
</EventData>
</Event>
</Events>
Такой запрос пишу:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='PostgreSQL']]] and
*[EventData[Data='Server started and accepting connections']]</Select>
</Query>
</QueryList>
Не понимаю как должна выглядеть часть
*[EventData[Data='Server started and accepting connections']]
*[EventData[Data='Server started and accepting connections']]
Все инструкции про журналы Система и Безопасность, но там немного другое содержание EventData.
Просто *[System[Provider[@Name='PostgreSQL']]] находит все три события старта службы, меня же интересует последнее о конкретном старте и принятии запросов.
