如何使用通配符过滤 Windows 事件日志？

Question 1

XPath 选择器必须以 * 开头，但是您不能使用 * 来过滤字段，因为 Xpath 1.0 没有contains运算符。

XPath 1.0 限制：Windows 事件日志支持 XPath 1.0 的子集。查询中可以使用的函数存在限制。例如，您可以在查询中使用position、Band和函数，但目前不支持和等其他函数。timediffstarts-withcontains

Answer

XPath 选择器必须以 * 开头，但是您不能使用 * 来过滤字段，因为 Xpath 1.0 没有contains运算符。

XPath 1.0 限制：Windows 事件日志支持 XPath 1.0 的子集。查询中可以使用的函数存在限制。例如，您可以在查询中使用position、Band和函数，但目前不支持和等其他函数。timediffstarts-withcontains

Question 2

使用 Powershell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

Answer

使用 Powershell

Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView

相关内容