所以我有一个应用程序事件日志...我们称之为“CustomApplicationLog”
我还有一个很棒的应用程序...我们把它称为“MyAwesomeApplication”
假设该应用程序抛出一个错误...如何使用 XML 查询编辑器在事件日志消息中搜索任意字符串?
下面是在选择了我想要的大部分内容后为我生成的查询。但我找不到任何关于自己解析此问题的文档。
<QueryList>
<Query Id="0" Path="CustomApplicationLog">
<Select Path="CustomApplicationLog">*[System[Provider[@Name='MyAwesomeApplication'] and (Level=2)]]</Select>
</Query>
</QueryList>
答案1
<QueryList>
<Query Id="0" Path="CustomApplicationLog">
<Select Path="CustomApplicationLog">*[System[Provider[@Name='MyAwesomeApplication'] and (Level=2)]] and *[EventData[Data and (Data='string i'm looking for')]]</Select>
</Query>
</QueryList>
这是假设您的自定义应用程序在 EventData 部分中吐出字符串。它会在日志的整个 Event Data 部分中搜索该字符串。为了获得更好的想法,请找到您要查找的日志并查看 XML 视图。