Wevtutil \ Event Viewer:使用XPath过滤器

时间:2018-03-07 11:37:30

标签: windows xpath wevtutil

我需要使用“wevtutil”工具获取ID为6005或6006的事件列表。这个命令工作正常:

wevtutil qe system /rd:true /q:*[System[EventID=6005]]

但是我需要使用ID 6005和6006来获取这两个事件。我试过

wevtutil qe system /rd:true /q:*[System[EventID=6005 or EventID=6006]]

但它返回

  

指定的参数太多。参数不正确。

我该如何解决?

注意:每个事件都具有以下XML结构

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='EventLog'/><EventID Qualifiers='32768'>6005</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2018-01-24T18:24:41.592259500Z'/><EventRecordID>350</EventRecordID><Channel>System</Channel><Computer>LAPTOP-IN03NS68</Computer><Security/></System><EventData><Binary>E20701000300180012001800290050020000000000000000</Binary></EventData></Event>

2 个答案:

答案 0 :(得分:0)

eryksun已经回答了命令。必须使用双引号

答案 1 :(得分:0)

“/ q:* [系统[(EventID = 6005)”或“(EventID = 6006)]]”

相关问题
最新问题