我试图通过创建自定义视图,然后将其另存为evtx文件,来实现事件查看器可以做的相同的事情。到目前为止,这里还有通过事件查看器创建自定义视图生成的自定义XML。也使用powershell。
$queryXML =
Path="Application"
Path="Application">*[System[Provider[@Name='Application'] and (Level=1 or Level=2 or Level=3)]]
Path="Security">*[System[Provider[@Name='Application'] and (Level=1 or Level=2 or Level=3)]]
Path="Setup">*[System[Provider[@Name='Application'] and (Level=1 or Level=2 or Level=3)]]
Path="System">*[System[Provider[@Name='Application'] and (Level=1 or Level=2 or Level=3)]]
Path="ForwardedEvents">*[System[Provider[@Name='Application'] and (Level=1 or Level=2 or Level=3)]]
wevtutil epl C:\Users\user\Desktop\test.evtx "/q: $queryXML"
-
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level=2)]]</Select>
<Select Path="Security">*[System[(Level=1 or Level=2)]]</Select>
<Select Path="Setup">*[System[(Level=1 or Level=2)]]</Select>
<Select Path="System">*[System[(Level=1 or Level=2)]]</Select>
<Select Path="ForwardedEvents">*[System[(Level=1 or Level=2)]]</Select>
</Query>
</QueryList>
答案 0 :(得分:0)
找到一种方法。将查询xml保存为.txt文件,然后不要将事件日志名称指定为“ system”,而应将.txt文件的路径与查询一起使用。