Где найти описание синтаксиса XPath приложения wevtutil.exe
Нужно отфильтровать системный журнал Event Viewer по разным критериям по XPath-запросу.
Не пойму, как указывать некоторые фильтры. Есть ли где-то расширенное описание поддерживаемых команд для фильтрации, типа, можно ли использовать операторы like (поиск по подстроке), contains, регулярные выражения, как правильно сравнивать даты и прочее: Код:
wevtutil.exe qe Security /q:"*[EventData[Data[@Name='ProcessName']!='cmd.exe']]" /f:text > events.txt |
"Фильтрация событий Windows встроенными утилитами", читали?
Имелось ввиду, что лучше на powershell, в котором пост.обработка результатов намного легче (регулярные выражение и прочее), чем с консольным wevtutil. |
Привет!
К сожалению, подробная официальная документация по всем возможностям XPath для Event Viewer может быть не так легко найти, потому что Microsoft не предоставляет единого глубокого руководства по этому вопросу. Но возможно это будет тебе полезно для твоей задачи: С XPath фильтрацией в Event Viewer действительно можно многое вытворять, но, к сожалению, не всё так просто с операторами типа like или регулярных выражений, как в SQL или других языках запросов. В XPath, который используется в Event Viewer, есть оператор `contains()` для поиска подстрок, например: Код:
*[EventData[Data[@Name='ProcessName'] and contains(Data, 'cmd.exe')]] Оператора `like` как в SQL тут нет, но `contains()` выполняет похожую функцию. Регулярные выражения, к сожалению, в XPath фильтрации Event Viewer не поддерживаются напрямую. В основном, приходится работать с тем, что есть в стандарте XPath 1.0. Сравнение дат в твоём примере выглядит правильно: Код:
*[System[TimeCreated[@SystemTime] > '2024-03-24T00:17:15.8800000Z']] Если нужна ещё более глубокая фильтрация, возможно, стоит посмотреть в сторону скриптов PowerShell с использованием cmdlet `Get-WinEvent`, который допускает более сложные логические выражения и работу с результатами запроса. Надеюсь, это поможет тебе с фильтрацией журналов! Удачи! |
Синтаксис XPath в журналах событий имеет множество ограничений https://learn.microsoft.com/en-us/wi...10-limitations
Цитата:
|
Время: 19:50. |
Время: 19:50.
© OSzone.net 2001-