我需要一個 XPath 查詢來查看 Windows 事件日誌中的所有事件（自定義視圖）

在 Windows powershell 中，您可以get-winevents不帶任何參數鍵入，它會轉儲所有事件。我想使用自定義視圖訪問事件查看器中的所有事件。我當然可以檢查所有內容，但這會導致 xml 查詢太大，所以我嘗試為路徑使用萬用字元而不是指定每個路徑。我試過這個：

<QueryList>
 <Query Id="0" Path="Application">
   <Select Path="*">*[System[TimeCreated[timediff(@SystemTime) <= 43200000]]]</Select>
 </Query>
</QueryList>

但它在Path="*".

如何製作顯示所有事件的自定義視圖？我發現一篇關於消費事件的 MSDN 文章說你可以使用萬用字元，但我想我用錯了。謝謝

您不能“萬用字元”路徑 - 這是必需的並且必須包含某個事件日誌。您只能在給定事件日誌的 XPath 表達式中使用萬用字元。另外，我記得你可以擁有的節點數量是有限制的，但我不記得它到底是什麼……

這裡有一個相關的文章：https ://stackoverflow.com/questions/8671194/using-xpath-starts-with-or-contains-functions-to-search-windows-event-logs

引用自：https://serverfault.com/questions/533415