Windows-Event-Log

如何使用萬用字元過濾 Windows 事件日誌?

  • March 24, 2017

根據此處的文件,支持星號萬用字元,因此它應該可以在例如。

$$ EventData[Data[@Name=‘TargetUserName’ $$=‘使用者1*’]] 但我無法讓任何萬用字元過濾器工作 - 有沒有人能夠做到這一點?

XPath 選擇器必須以 * 開頭,但是您不能使用 * 來過濾欄位,因為 Xpath 1.0 沒有contains運算符。

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

XPath 1.0 限制:Windows 事件日誌支持 XPath 1.0 的子集。在查詢中可以使用哪些函式是有限制的。例如,您可以在查詢中使用positionBandtimediff函式,但目前不支持其他函式,例如starts-with和。contains

引用自:https://serverfault.com/questions/827016

相關問答

Windows-Event-Log

事件日誌 > 過濾目前日誌 > XML > 其中 EventData 包含文本

  • April 14, 2020
檢視問答
Windows-Server-2008-R2

嘗試在事件查看器中過濾 AccessList = %%1537:/

  • March 9, 2020
檢視問答
Windows-Server-2019

什麼控制 Windows 證書服務事件“即將到期”ID 1003 的時間?

  • March 18, 2022
檢視問答
Windows

用於啟動/關閉鎖定/解鎖的 Windows 事件程式碼

  • June 29, 2021
檢視問答
Windows

在沒有 Windows 域的情況下通過 https 轉發 Windows 事件 - 沒有事件 104

  • January 11, 2021
檢視問答
Windows-10

Windows 10 的 IP 地址更改事件 ID?

  • September 28, 2020
檢視問答