我正在尝试选择某个日期之后的所有事件日志条目。到目前为止,我认为我得到了等于,但我不知道如何将其更改为大于指定日期......如此接近但到目前为止!
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[TimeCreated[@SystemTime='2013-01-01T12:21:25.0000000']]]</Select>
</Query>
</QueryList>
我找到了为 EventLog 创建 XPath 查询的最佳方法。请参阅此处了解如何创建自定义视图。创建自定义视图后,使用所需的任何过滤器,只需单击 XML,瞧,它会向您显示它自己构建的 XPath 查询!
下一个挑战是日期的格式。我用这个:“yyyy-MM-ddThh:mm:ss:fffZ”
我还认为您不能创建一个过滤器,显示此日期之后的所有内容。所以我只是在我想要的日期和当前日期之间重新创建了一个范围。
为了完整起见,这是我创建的过滤器(谁为这个设计了规格?)
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level 2 or Level=3) and TimeCreated[@SystemTime>='2013-01-01T12:00:00:000Z' and @SystemTime<='2013-02-13T05:30:34:948Z']]]</Select>
</Query>
</QueryList>
使用这样的东西:
*[System[TimeCreated[
number(translate(substring-before(@SystemTime, 'T'), '-', '')) > 20130101]]]
如果您需要考虑整个字符串,则删除比较不必要的所有内容:
*[System[TimeCreated[
number(translate(@SystemTime, '-T:.', '')) > 201301011221250000000]]]