我试图选择超过特定日期的所有事件日志条目。到目前为止,我认为我得到了平等,但我不知道如何将其更改为大于指定的日期...到目前为止如此接近!
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[TimeCreated[@SystemTime='2013-01-01T12:21:25.0000000']]]</Select>
</Query>
</QueryList>
答案 0 :(得分:2)
我找到了为EventLog创建XPath查询的最佳方法。有关如何创建自定义视图的信息,请参阅here。在创建自定义视图后,使用您想要的任何过滤器,只需单击XML,瞧,它会显示它自己构建的XPath查询!
下一个挑战是制定日期。我用过这个:“yyyy-MM-ddThh:mm:ss:fffZ”
我还认为你无法创建一个过滤器,在此日期之后向我显示所有内容。所以我只是重新创建了我想要的日期和当前日期之间的范围。
为了完整性,这里是我创建的过滤器(谁为此制定了规范?)
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level 2 or Level=3) and TimeCreated[@SystemTime>='2013-01-01T12:00:00:000Z' and @SystemTime<='2013-02-13T05:30:34:948Z']]]</Select>
</Query>
</QueryList>
答案 1 :(得分:1)
使用类似的东西:
*[System[TimeCreated[
number(translate(substring-before(@SystemTime, 'T'), '-', '')) > 20130101]]]
如果您需要考虑整个字符串,请删除比较所需的所有内容:
*[System[TimeCreated[
number(translate(@SystemTime, '-T:.', '')) > 201301011221250000000]]]