在Windows get-winevents你可以input没有任何参数的get-winevents ,它会转储所有的事件。 我想使用自定义视图访问事件查看器中的所有事件。 我当然可以检查一切,但这会导致XML查询太大,所以我试图做通配符的path,而不是指定每个path。 我试过这个:
<QueryList> <Query Id="0" Path="Application"> <Select Path="*">*[System[TimeCreated[timediff(@SystemTime) <= 43200000]]]</Select> </Query> </QueryList>
但它在Path="*"上的错误。
我如何制作一个显示所有事件的自定义视图? 我发现消费事件的MSDN文章说,你可以使用通配符,但我想我错了。 谢谢
你不能“通配符”的path – 这是必需的,必须包含一个特定的事件日志。 对于给定的事件日志,您只能在XPathexpression式中使用通配符。 另外,我记得你可以拥有的节点数量是有限制的,但我不记得它到底是什么…
这里有一个相关的post: https : //stackoverflow.com/questions/8671194/using-xpath-starts-with-or-contains-functions-to-search-windows-event-logs