Как отфильтровать ObjectName в журналах Windows с помощью расширенной фильтрации XML?

Я хочу развернуть инструмент централизованного анализа журналов в моем домене. В настоящее время я настраиваю Windows для аудита общего сетевого диска (чтение, запись, попытки доступа пользователей домена) для пересылки событий Windows на мой сервер.

Поскольку журналы аудита Windows ДЕЙСТВИТЕЛЬНО ШУМЫ (я имею в виду события 4663,4656 (system32, C:\Windows, приложения...)), базовой фильтрации для меня недостаточно. В идеале я хотел бы получить только события этой папки, например C:\MyFolder, с настраиваемым представлением.

После проверки какой-то документации я ничего не увидел о фильтрации "ObjectName", и я не совсем уверен, что это возможно...

Я попробовал этот синтаксис и многие другие (замена \ с \, называя один файл вместо папки "EventData..." вместо *[EventData...]...), но в любом случае я не могу получить любые журналы внутри.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
       *[System[(EventID='4663' or EventID='4656')]] //it works
       and
       *[EventData[Data[@Name='ObjectName']and(Data='C:\MyFolder*')]]
     </Select>
  </Query>
</QueryList>

Тогда я не уверен, что могу использовать '*', я подумал, что это должен быть единственный способ сделать это с XPath1.0, поскольку он действительно ограничен функциями.

У тебя есть идея?