你好,在本节中,我想知道如何过滤包含某些词语的数据的事件,例如:
正确的语法:
*[EventData[Data[@Name='SourceAddress'] ='192.168.1.2']]
结果:搜索所有源地址 = 192.168.1.2 的事件。
但我想搜索所有包含 LIKE 的事件192.168.
错误语法:
*[EventData[Data[@Name='SourceAddress'] Like '192.168.']]
答案1
我想要搜索所有包含 LIKE 192.168 的事件。
不幸的是,我认为这是不可能的,因为:
Windows 事件日志支持 XPath 1.0 的子集。局限性查询中可以使用哪些函数。例如,您可以在查询中使用“position”、“Band”和“timediff”函数,但目前不支持“starts-with”和“contains”等其他函数。
然而,w32sh评论中指出,使用 PowerShell 是可以实现的。请参阅此 Stack Overflow 问题:使用 XPath 以开头或包含函数搜索 Windows 事件日志