题 如何使用通配符过滤Windows事件日志?


根据该文件 这里,支持星号通配符,因此它应该在例如。

* [EventData [Data [@ Name ='TargetUserName'] ='User1 *']]

但我不能让任何通配符过滤器工作 - 有没有人能够这样做?


6
2018-01-18 13:19






答案:


XPath选择器必须以*开头,但是您不能使用*来过滤字段,因为Xpath 1.0没有 contains 运营商。

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

XPath 1.0限制:   Windows事件日志支持XPath 1.0的子集。查询中的函数有哪些限制。例如,你可以使用 positionBand,和 timediff 查询中的函数,但其​​他函数 starts-with 和 contains 目前不支持。


3
2018-01-18 14:32



好的,所以你说“*”支持仅用于节点名称,而不是用于值?我知道不支持'starts-with'和'contains' - A_L
正确________ - Clayton


使用Powershell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

6
2018-03-24 12:38