根据 date/time,而不是路径查询所有事件日志
Interrogate all event log based on date/time, not on path
我正在调查我 PC 上的一个问题(更确切地说是 xcopy 一堆文件期间的共享违规),我正在考虑验证事件日志,但我想调查在 xcopy 开始和结束之间发生的所有事件,例如:
wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text
(时间戳是从命令 echo [!TIME!] 中检索的,一个在 xcopy 命令之前,一个在命令之后)
不接受此命令,因为在使用 wevtutil qe 时不允许使用 *。我可以查看事件查看器内部,但随后我需要调查所有可能的日志(我对此不是很熟悉)。
有没有办法查询所有事件日志并根据时间戳过滤它们?
虽然 Microsoft 和其他人说格式是 UTC,但它实际上是一种变体,如果您查询这些值,您会看到差异,初学者没有 "T"。
格式是字符串末尾 BIAS 的正确时间,所以对于我来说,在 +600 TZ 中,WMI 时间字符串末尾的偏差为“+600”,值可以读作当地时间(正如许多 Microsoft 示例所假设的那样)。
例如,如果偏差为“-000”,在我的例子中,所有值都比您预期的早 10 小时(600 分钟)。
我正在调查我 PC 上的一个问题(更确切地说是 xcopy 一堆文件期间的共享违规),我正在考虑验证事件日志,但我想调查在 xcopy 开始和结束之间发生的所有事件,例如:
wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text
(时间戳是从命令 echo [!TIME!] 中检索的,一个在 xcopy 命令之前,一个在命令之后)
不接受此命令,因为在使用 wevtutil qe 时不允许使用 *。我可以查看事件查看器内部,但随后我需要调查所有可能的日志(我对此不是很熟悉)。
有没有办法查询所有事件日志并根据时间戳过滤它们?
虽然 Microsoft 和其他人说格式是 UTC,但它实际上是一种变体,如果您查询这些值,您会看到差异,初学者没有 "T"。
格式是字符串末尾 BIAS 的正确时间,所以对于我来说,在 +600 TZ 中,WMI 时间字符串末尾的偏差为“+600”,值可以读作当地时间(正如许多 Microsoft 示例所假设的那样)。
例如,如果偏差为“-000”,在我的例子中,所有值都比您预期的早 10 小时(600 分钟)。