A_L Asked: 2017-01-19 05:19:49 +0800 CST2017-01-19 05:19:49 +0800 CST 2017-01-19 05:19:49 +0800 CST 如何使用通配符过滤 Windows 事件日志? 772 根据此处的文档,支持星号通配符,因此它应该可以在例如。 *[EventData[Data[@Name='TargetUserName'] ='User1*']] 但我无法让任何通配符过滤器工作 - 有没有人能够做到这一点? xml windows-event-log eventviewer 2 个回答 Voted ult 2017-03-25T04:38:56+08:002017-03-25T04:38:56+08:00 使用 Powershell Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView Best Answer Clayton 2017-01-19T06:32:57+08:002017-01-19T06:32:57+08:00 XPath 选择器必须以 * 开头,但是您不能使用 * 来过滤字段,因为 Xpath 1.0 没有contains运算符。 https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/ XPath 1.0 限制:Windows 事件日志支持 XPath 1.0 的子集。在查询中可以使用哪些函数是有限制的。例如,您可以在查询中使用position、Band和timediff函数,但目前不支持其他函数,例如starts-with和。contains
使用 Powershell
XPath 选择器必须以 * 开头,但是您不能使用 * 来过滤字段,因为 Xpath 1.0 没有
contains运算符。https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/