我正在尝试使用 Xpath xml 查询定义 Windows Eventviewer 视图。如果我匹配整个值,我可以选择属性;例如
[EventData[Data[@Name="Image"] and (Data="C:\windows\system32\calc.exe")]]
我无法搜索我不知道的项目,例如完整路径。不起作用的示例是
[EventData[Data[@Name="Image"] and (Data="*firefox.exe")]]"
据称 Xpath 中有一个“包含”功能,但 EventViewer 中实现的 xpath 不支持该功能。
有什么想法吗?谢谢!
答案1
Windows 事件日志支持 XPath 1.0 的子集,并且仅包含 3 个函数:position、band 和 timediff。
看http://msdn.microsoft.com/en-us/library/windows/desktop/dd996910(v=vs.85).aspx#limitations