Здравствуйте, в этом разделе я хочу знать, как отфильтровать событие, содержащее данные с некоторыми словами, например:
Правильный синтаксис:
*[EventData[Data[@Name='SourceAddress'] ='192.168.1.2']]
результат: поиск всех событий, адрес источника которых = 192.168.1.2.
но я хочу найти все события, которые содержат как 192.168.
Неверный синтаксис:
*[EventData[Data[@Name='SourceAddress'] Like '192.168.']]
К сожалению, я не думаю, что это возможно напрямую, потому что:
Журнал событий Windows поддерживает подмножество XPath 1.0. Существуют ограничения на то, какие функции работают в запросе. Например, вы можете использовать функции "position", "Band" и "timediff" в запросе, но другие функции, такие как "начиная с" и "содержит", в настоящее время не поддерживаются.
Расширенная фильтрация XML в средстве просмотра событий Windows
Однако, как указал w32sh в комментарии, это возможно с PowerShell. См. Этот вопрос переполнения стека. Использование XPath запускается с или содержит функции для поиска в журналах событий Windows.