Windows-Server-2012-R2

事件查看器過濾不起作用 - 無效查詢

  • April 27, 2016

首先,我想吐槽一下搜尋事件日誌是多麼愚蠢,但我敢打賭 MS 沒有聽我的,僅此而已。

我的問題是:我試圖找出在事件的數據部分中具有此值 (0x84e9c0d) 的所有事件。但是,查詢編輯器告訴我“指定的查詢無效”。這個查詢有什麼問題?我直接從https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/複製了程式碼

<QueryList>
 <Query Id="0" Path="Security">
   <Select Path="Security"> 
           *[EventData[Data and (Data=’0x84e9c0d′)]] 
        </Select>
 </Query>
</QueryList>

很確定你的問題是:

Data=’0x84e9c0d′

這些引號字元不匹配,並且這些字元似乎都不'是預期的單引號字元 ( )。

引用自:https://serverfault.com/questions/773327