В Windows PowerShell вы можете ввести get-winevents без каких-либо параметров, и он сбросит все события. Я хочу получить доступ ко всем событиям в средстве просмотра событий с помощью настраиваемого представления. Я, конечно, могу просто отметить все, но это приводит к слишком большому xml-запросу, поэтому я пытаюсь использовать подстановочные знаки для пути, а не указывать каждый путь. Я пробовал это:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="*">*[System[TimeCreated[timediff(@SystemTime) <= 43200000]]]</Select>
</Query>
</QueryList>
Но это ошибки на Path="*".
Как я могу создать собственный вид, в котором будут отображаться все события? Я нашел Статья MSDN о потребляющих событиях это говорит о том, что вы можете использовать подстановочный знак, но я думаю, что я использую его неправильно. Спасибо
Вы не можете использовать «подстановочный знак» для пути - он является обязательным и должен содержать определенный журнал событий. Вы можете использовать подстановочные знаки в выражении XPath только для данного журнала событий. Вдобавок я помню, что есть ограничение на количество узлов, которые у вас могут быть, но я не помню, что именно это было ...
Здесь есть связанный пост: https://stackoverflow.com/questions/8671194/using-xpath-starts-with-or-contains-functions-to-search-windows-event-logs