首先,我想大声疾呼search事件日志的难度,但我敢打赌,MS并没有听我说话。
我的问题是这样的:我试图找出事件的数据部分中具有此值(0x84e9c0d)的所有事件。 但是,查询编辑器告诉我“指定的查询无效”。 这个查询有什么问题? 我直接从https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/复制代码
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data and (Data='0x84e9c0d′)]] </Select> </Query> </QueryList> 很确定你的问题是:
Data='0x84e9c0d′
这些引用字符不匹配,这些字符都不是预期的单引号字符( ' )。