Согласно документу Вот, подстановочный знак звездочки поддерживается и, следовательно, должен работать, например, в.
* [EventData [Data [@ Name = 'TargetUserName'] = 'User1 *']]
но я не могу заставить работать какой-либо фильтр с подстановочными знаками - кто-нибудь смог это сделать?
Используйте Powershell
Get-EventLog -LogName "System" | ?{$_.Message -like "*YourSearchString*"} | Out-GridView
Селектор XPath должен начинаться с *, однако вы не можете использовать * для фильтрации полей, поскольку Xpath 1.0 не имеет contains оператор.
Ограничения XPath 1.0: Журнал событий Windows поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать
position,Band, иtimediffфункции внутри запроса, но другие функции, такие какstarts-withиcontainsв настоящее время не поддерживаются.