首先,我想吐槽一下搜索事件日志是多么愚蠢,但我敢打赌 MS 没有听我的,仅此而已。
我的问题是:我试图找出在事件的数据部分中具有此值 (0x84e9c0d) 的所有事件。但是,查询编辑器告诉我“指定的查询无效”。这个查询有什么问题?我直接从https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/复制了代码
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data and (Data=’0x84e9c0d′)]]
</Select>
</Query>
</QueryList>
很确定你的问题是:
Data=’0x84e9c0d′这些引号字符不匹配,并且这些字符似乎都不
'是预期的单引号字符 ( )。