Как отфильтровать журнал событий Windows с помощью подстановочного знака?
Согласно документу здесь звездочка подстановочный знак поддерживается, и поэтому он должен работать, например, в
* [EventData [Data [@ Name = 'TargetUserName'] = 'User1 *']]
, но я не могу заставить работать какой-либо фильтр с подстановочными знаками - кто-нибудь был в состоянии это сделать?
Селектор XPath должен начинаться с *, однако вы не можете использовать * для фильтрации полей, поскольку Xpath 1.0 не имеет оператора содержит .
Ограничения XPath 1.0: Журнал событий Windows поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать в запросе функции
position,Bandиtimediff, но другие функции, такие как, начинаются сисодержит, в настоящее время не поддерживаются.
Используйте Powershell
Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView