Parece que não há uma maneira fácil (simples) de fazer isso. Isso só é possível criando um filtro de eventos personalizado que será usado para o gatilho, usando expressões XPath. Em outras palavras, não há elementos de controle da GUI na caixa de diálogo Editar Filtro de Eventos que ajudará você a selecionar um campo de dados específico, como o nome do processo para acionar uma tarefa.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 13312 and (band(Keywords,9007199254740992)) and (EventID=4688)]]
and
*[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\cmd.exe')]]
</Select>
</Query>
</QueryList>
Este exemplo aciona a tarefa para executar uma ação (executa winver.exe no meu caso) somente quando a ID de evento 4688 é registrada, e o campo Novo nome do processo contém a string "C:\Windows\System32\cmd.exe" .
Se você deseja fazer algo semelhante, mas deseja que outros campos acionem a tarefa, dê uma olhada no evento que deseja segmentar. Execute eventvwr.msc no prompt de execução e navegue até Logs do Windows, Segurança. Clique duas vezes em um clique direito ou direito e, em seguida, clique em Propriedades do Evento para abrir a caixa de diálogo de propriedades. Em seguida, clique na guia Detalhes e escolha Exibição XML. Isso ajudará você a descobrir quais outros campos podem ser usados como alvo. Use a mesma sintaxe do exemplo acima.
Captura de tela suplementar ...
