Windows-Server-2012-R2
事件查看器過濾不起作用 - 無效查詢
首先,我想吐槽一下搜尋事件日誌是多麼愚蠢,但我敢打賭 MS 沒有聽我的,僅此而已。
我的問題是:我試圖找出在事件的數據部分中具有此值 (0x84e9c0d) 的所有事件。但是,查詢編輯器告訴我“指定的查詢無效”。這個查詢有什麼問題?我直接從https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/複製了程式碼
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data and (Data=’0x84e9c0d′)]] </Select> </Query> </QueryList>
很確定你的問題是:
Data=’0x84e9c0d′
這些引號字元不匹配,並且這些字元似乎都不
'
是預期的單引號字元 ( )。