我正在调查我的电脑上的问题(更确切地说是在一堆文件的xcopy期间发生共享违规),我正在考虑验证事件日志,但是我&# 39; d想调查在xcopy的开头和结尾之间发生的所有事件,如:
wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text
(从命令echo [!TIME!]中检索时间戳,一个在xcopy命令之后,一个在*命令后面)
不接受此命令,因为在使用wevtutil qe时不允许使用kit = PDFKit.new(html, page_size: 'A4')
pdf = kit.to_pdf
。我可以查看事件查看器,但之后我需要调查所有可能的日志(我对此并不十分熟悉)。
有没有办法询问所有事件日志并在时间戳上过滤它们?
答案 0 :(得分:0)
虽然微软和其他人说格式是UTC,但它实际上是一种变体,如果你查询这些值,你就会看到差异,没有&#34; T&#34;首发。
格式是字符串末尾BIAS的正确时间,所以对于我来说,+ 600 TZ,偏差为&#34; + 600&#34;在WMI时间字符串的末尾,值可以作为本地时间读取(正如许多Microsoft样本所假设的那样)。
但是,如果偏见是&#34; -000&#34;例如,在我的情况下,这些值都是你所期望的10小时(600分钟)。