服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何使用通配符过滤Windows事件日志?
Intereting Posts
删除并重新添加RAID驱动器 如何通过一个通过域帐户连接到SQL Windows身份validation的VPN来信任非域PC 由不受影响的服务器提供SSL时的Heartbleed漏洞? DNS resolv conf问题 – 即使列出几个可以parsing的名称服务器,DNS也不能parsing某些内部地址 基于名称的虚拟主机 – 指定一个域名,并保持打开的IP地址 廉价的数据库备份硬件? 将2008 Server升级到2008 R2,还是等到201X? HTTP基本authentication,除非从办公室连接到Apache 2.4? 在Windows cmd中联网ARP表 在不同的IP地址上并行使用单域SSL和通配符SSL 按特定时间间隔安排任务,但不是固定时间 outlook和交stream2010摊位电子邮件 充当反向代理时,nginx默认不压缩响应 为什么在OpenVPN运行时不能访问1194端口? 不能ping通centos7主机

如何使用通配符过滤Windows事件日志?

根据这里的文件,星号通配符是支持的,因此它应该在例如。

* [EventData [Data [@Name ='TargetUserName'] ='User1 *']]

但我不能得到任何通配符filter工作 – 有人能够做到这一点?

XPathselect器必须以*开头,但是由于Xpath 1.0没有contains运算符,所以不能使用*来过滤字段。

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

XPath 1.0限制:Windows事件日志支持XPath 1.0的一个子集。 在查询中有什么function是有限制的。 例如,您可以在查询中使用positionBandtimediff函数,但其​​他函数(如starts-withcontains目前不受支持。

使用Powershell 

 Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView