004 2008-11-23 02:18:49 0 %%827|1.1.1593.0|{9CB31878-8FED-45F4-B45F-AF8A3EC94F7A}|||||WIN|108510|S-1-5-21-1229272821- 838170752-1417001333-21676|未知||0|44| http://go.microsoft.com/fwlink/?linkid=74409|service:W32Times;file:C :\WINDOWS\system32\w32times.exe|0|%%807|||||||尚未分类|尚未分类||
我在系统事件日志 (sysevent.evt) 中有上述信息,并且正在尝试创建一个批处理文件,该文件将搜索其他一些系统上的其他事件日志,并提取带有字符串“w32times”的任何信息。这是我尝试过但没有成功的方法,它搜索日志但返回 0 值。
I:\LogParser>logparser -i:EVT -o:DATAGRID "SELECT EventID, TimeGenerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt WHERE EventID='3004' AND Strings='W32Times'"
统计数据:
处理的元素:28727 元素输出:0 执行时间:0.19 秒
我已经用小写字母尝试过,并且还在字符串之后使用了 LIKE 命令