事件日志是用于记录事件的时间线以及上下文元数据的文件
如何在EventViewer XPath查询中抑制多个数据元素?
我想过滤Windows事件日志,以获取KCC或两个IP地址生成的事件。 这适用于KCC过滤器: <QueryList> <Query Id="0" Path="ADAM (ADLDS-HHT)"> <Select Path="ADAM (ADLDS-HHT)"> *[System[(EventID=1644)]] </Select> <Suppress Path="ADAM (ADLDS-HHT)"> *[EventData[Data='KCC']] </Suppress> </Query> </QueryList> 现在,我需要添加IP地址。 它们只是作为数据元素存储在事件中: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <EventID Qualifiers="16384">1644</EventID> [other values remove for brevity] </System> <EventData> <Data>192.168.0.1:64790</Data> <Data>0</Data> <Data>0</Data> [other values remove for brevity] </EventData> </Event> 我已经为抑制部分尝试了一下: <Suppress Path="ADAM (ADLDS-HHT)"> *[EventData[Data='KCC' OR Data='192.168.1.2' OR Data='10.1.2.3']] </Suppress> 和此: <Suppress Path="ADAM (ADLDS-HHT)"> *[EventData[Data='KCC'] OR [Data='192.168.1.2'] OR [Data='10.1.2.3']] </Suppress> 但两者都没有工作。 我已经在线搜索,但是几乎所有示例都具有这样的属性名称:*[EventData[Data[@Name='TargetUserName']但是我的只是数据值 nbxpath语言对病例敏感;您想要的布尔操作员是or,而不是OR。 lmc也正确地指出,您需要忽略<Data>元素中的端口号。我不建议使用starts-with函数,因为当您排除10.1.2.30时,您不想排除10.1.2.3。在我的示例中,我使用substring-before函数来修剪端口规范。 *[ EventData[ Data='KCC' or substring-before(Data, ':') = '192.168.1.2' or substring-before(Data, ':') = '10.1.2.3' ] ] 我不会运行Windows,我无法正确测试它,但这就是我猜您的问题。
是否有有效的事件ID范围在登录Windows EventLog时应使用的有效事件ID?或者我可以使用我选择的任何事件ID(1,2,3,4 ....)。 P.S,我正在c ...
要写入 Windows 事件日志,我有以下脚本: .... win32evtlogutil.ReportEvent( “测试001”, 101、 事件类型=0, 数据 = err_log_path + 'error_TEST001.log' ) ... 但我明白了
在事件查看器的“应用程序和服务日志”部分创建应用程序和事件日志
我有一个 .NET 应用程序,我想在其中将未处理的事件写入事件查看器。我注意到有一个名为“应用程序和服务日志”的目录。我想创造...
在 ASP NET 项目 (C#) 上,我使用 System.Diagnostics 命名空间来记录错误、警告和信息。 使用 Windows 7,我看到我为该项目设置的日志位于“应用程序和
未找到来源,但无法搜索到部分或全部事件日志。无法访问的日志:安全性[重复]
我收到错误: 未找到源,但无法获取部分或全部事件日志 搜索过。无法访问的日志:安全 当我运行下面的代码来捕获 Win 2K12 R2 服务器 IIS 8 上的错误时...
使用 PowerShell 在 Windows 事件日志中设置占位符 %2、%3、...
背景 为了在 PowerShell 脚本中将错误日志写入 Windows 事件查看器,我找到了合适的源应用程序错误和事件 ID 1000。 当您调用 Write-EventLog -LogName "Applicatio...
查看第 3 方 DLL 中的可用消息字符串(来自 mc.exe)
有没有办法查看DLL中可用的所有消息(即mc.exe消息编译器为FormatMessage创建的消息)? 它们似乎作为单一资源添加为类型 11。
什么阻止 Windows Vista 事件日志查看器显示事件?
我开发了用于Windows事件日志记录的清单文件,它是类别和事件的标准列表。它在 Win 7+ 上运行良好,但在 Vista 上它显示奇怪的窗口 我试图找到一些
无需管理员权限即可获取“Write-EventLog”的可用“-LogName”和“-Source”列表
背景 我想使用 Write-EventLog 将错误消息写入 PowerShell 脚本中的 Windows 事件日志。 我在运行环境中没有管理员权限,所以无法运行New-
有没有办法写入此事件日志: 或者至少是其他一些 Windows 默认日志,我不必在其中注册事件源?
ILoggingBuilder AddEventLog Linux 兼容性
当应用程序在 Linux 操作系统下运行时,Microsoft.Extensions.Logging.ILoggingBuilder 的扩展方法 AddEventLog 是否也可以工作,或者当没有 Windows 时会导致异常
读取远程事件日志,使用c#.net core代码,在linux机器上运行
我正在使用 c# .net core 8.0,我需要能够从远程 Windows 事件日志中读取事件,并按日志名称(在我的例子中为“Security”)、事件 ID 和创建日期时间来过滤它们。第...
我正在编写一个 XPath 查询字符串来从 Windows 事件日志中选择记录,其中事件源包含特定字符串。我有一个版本可以执行完全匹配,其中路径 el...
我正在创建一个 ASP.NET 应用程序,它将向 Windows EventLog 记录一些内容。为此,必须首先创建事件源。这需要管理权限,所以我无法在...
自动生成的manifest.h不包含ProviderGuid值
我正在尝试编译检测清单,以构建基于清单的 Windows 事件日志提供程序。我希望编译后的 manifest.h 文件包含 ProviderGuid 符号,如
当我运行以下代码时,我收到如下所示的错误消息。如何将事件日志列表传递回 get-eventlog? $EventLogList = 获取事件日志 |选择对象-展开属性日志 Get-ev...
如何配置 NLog 以仅记录 Windows 系统日志中的错误?
我试图仅将错误记录到 Windows 系统日志(事件查看器)中,我尝试了很多解决方案,但没有一个按预期运行。我仍然在 Windows 系统日志中看到警告消息。 这是一个 Asp.Net C...
我正在使用 log4net 进行日志记录(废话!)。使用 EventLogAppender,我可以配置我的应用程序名称,以便我的事件将显示在应用程序/“我的应用程序名称”事件日志中。然而,我...