Как отфильтровать журнал событий Windows с подстановочными знаками?

Question

Как отфильтровать журнал событий Windows с подстановочными знаками?

Согласно документу здесь, подстановочный знак звездочки поддерживается и, следовательно, он должен работать, например, в.

* [EventData [Data [@ Name = 'TargetUserName'] = 'User1 *']]

но я не могу заставить работать какой-либо подстановочный фильтр - кто-нибудь смог это сделать?

11

windows-event-log eventviewer xml

Источник

A_L 18 янв '17 в 13:19

2 ответа

Решение

Используйте Powershell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

12

Источник

ult 24 мар '17 в 12:38

Другие вопросы по тегам windows-event-log eventviewer xml

Clayton 18 янв '17 в 14:32 2017-01-18 14:32 · Accepted Answer · 2017-01-18 14:32

Селектор XPath должен начинаться с *, однако вы не можете использовать * для фильтрации полей, так как Xpath 1.0 не имеет contains оператор.

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

Ограничения XPath 1.0: журнал событий Windows поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать position, Band, а также timediff функции в запросе, но другие функции, такие как starts-with а также contains в настоящее время не поддерживается.