HAG

не думаю что еще актуально, но можно же обьединять условия:
то есть {Template name:eventlog[Security].str("A process has exited.")=1 and {Template name:eventlog[Security].str("Decoder.exe")=1 то есть событие содержит одну строку и содержит другую.