根據文件這裡,支援星號通配符,因此它應該在例如中工作。
*[EventData[Data[@Name='TargetUserName'] ='User1*']]
但我無法讓任何通配符過濾器工作 - 有人能夠做到這一點嗎?
答案1
XPath 選擇器必須以 * 開頭,但您不能使用 * 來過濾字段,因為 Xpath 1.0 沒有contains運算符。
XPath 1.0 限制:Windows 事件日誌支援 XPath 1.0 的子集。查詢中的函數有一些限制。例如,您可以在查詢中使用
position、Band和函數,但目前不支援和等其他函數。timediffstarts-withcontains
答案2
使用Powershell
Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView