Как отфильтровать журнал событий Windows с помощью подстановочных знаков?

Question 1

Селектор XPath должен начинаться с *, однако вы не можете использовать * для фильтрации полей, поскольку в XPath 1.0 нет containsоператора.

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

Ограничения XPath 1.0: Windows Event Log поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать функции position, Band, и timediffв запросе, но другие функции, такие как starts-withи , containsв настоящее время не поддерживаются.

Answer

Селектор XPath должен начинаться с *, однако вы не можете использовать * для фильтрации полей, поскольку в XPath 1.0 нет containsоператора.

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

Ограничения XPath 1.0: Windows Event Log поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать функции position, Band, и timediffв запросе, но другие функции, такие как starts-withи , containsв настоящее время не поддерживаются.

Question 2

Использовать PowerShell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

Answer

Использовать PowerShell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

Как отфильтровать журнал событий Windows с помощью подстановочных знаков?

решение1

решение2

Связанный контент