我一直在尝试从 WEVTUtil 过滤应用程序日志以查看特定日志。但是,在过滤事件 id 1036 时,有两个独立的发布者。我希望能够从 MsiInstaller 中获取事件,但我一生都无法弄清楚如何去做,而且我似乎找不到任何东西。
wevtutil qe Application "/q:*[System [(EventID=1036)]] /f:text
这对我有用,但它并没有单独显示来自 MsiInstaller 的事件。我该怎么办。
问问题
604 次
2 回答
1
PowerShell 替代方案是Get-WinEvent.
例子:
Get-WinEvent -FilterHashtable @{LogName="Application";ID=1033;ProviderName='MsiInstaller'}
您可以根据需要设置日志名称和事件 ID。
于 2020-05-30T18:48:03.833 回答
0
经过足够的挠头后找到了我自己的问题的答案!这会过滤掉所有具有冲突来源的查询(即不是我想要的)。
wevtutil qe Application "/q:*[System [(EventID=1036)][Provider[@Name='MsiInstaller']]]" /f:text
于 2020-07-11T01:23:14.137 回答