Я пытаюсь определить представления Windows Eventviewer с помощью XML-запросов Xpath. Я могу выбрать по атрибутам, если я совпадаю по всему значению; например

[EventData[Data[@Name="Image"] and (Data="C:\windows\system32\calc.exe")]]

Я не могу искать предметы, где я не знаю, например, полный путь. Пример, который не работает 

[EventData[Data[@Name="Image"] and (Data="*firefox.exe")]]"

Предположительно, в Xpath есть функция "содержит", но она не поддерживается в xpath, реализованном в EventViewer.

Есть идеи? Спасибо!

|источник

1 ответ1

0

Журнал событий Windows поддерживает подмножество XPath 1.0 и содержит только 3 функции: положение, диапазон и временной интервал.

См. Http://msdn.microsoft.com/en-us/library/windows/desktop/dd996910(v=vs.85).aspx#limitations

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .