首先,我想吐槽一下搜索事件日志是多么困难,但我敢打赌 MS 不会听我的,所以就这样了。
我的问题是这样的:我试图找出事件数据部分中具有此值 (0x84e9c0d) 的所有事件。但是,查询编辑器告诉我“指定的查询无效”。这个查询有什么问题?我直接从https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data and (Data=’0x84e9c0d′)]]
</Select>
</Query>
</QueryList>
答案1
很确定你的问题是:
Data=’0x84e9c0d′
这些引号字符不匹配,并且两个字符都不是'预期的单引号字符()。