0

我正在调查我的 PC 上的问题(更确切地说是xcopy一堆文件期间的共享冲突),并且我正在考虑验证事件日志,但我想调查在开始之间发生的所有事件那xcopy和它的结束,就像:

wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text

(时间戳是从命令中检索的echo [!TIME!],一个在命令之前,一个在xcopy命令之后)

不接受此命令,因为在使用 时*不允许使用wevtutil qe。我可以查看事件查看器内部,但随后我需要调查所有可能的日志(我对此不是很熟悉)。

有没有办法查询所有事件日志并根据时间戳过滤它们?

4

1 回答 1

0

虽然 Microsoft 和其他人说格式是 UTC,但它实际上是一种变体,如果您查询值,您会看到差异,对于初学者来说没有“T”。

格式是字符串末尾的 BIAS 的正确时间,所以对我来说,在 WMI 时间字符串末尾带有“+600”偏差的 +600 TZ 中,值可以读取为本地时间(尽可能多Microsoft 示例假定始终如此)。

但是,例如,如果偏差是“-000”,那么在我的情况下,这些值都比您预期的早 10 小时(600 分钟)。

于 2017-04-23T02:29:36.133 回答