在 Windows powershell 中,您可以get-winevents不带任何参数输入,它将转储所有事件。我想使用自定义视图访问事件查看器中的所有事件。我当然可以勾选所有内容,但这会导致 xml 查询太大,所以我尝试对路径使用通配符,而不是指定每个路径。我试过这个:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="*">*[System[TimeCreated[timediff(@SystemTime) <= 43200000]]]</Select>
</Query>
</QueryList>
但是它却出错了Path="*"。
我如何制作显示所有事件的自定义视图?我发现有关使用事件的 MSDN 文章上面说你可以使用通配符,但我猜我使用错了。谢谢
答案1
您不能对路径使用“通配符”——该路径是必需的,并且必须包含特定的事件日志。您只能在给定事件日志的 XPath 表达式中使用通配符。此外,我记得您可以拥有的节点数量是有限制的,但我不记得具体是多少了……