事件檢視器,自訂篩選,工作筆記
在事件檢視器中,可以看見windows的log紀錄。
也可以透過 「篩選目前的紀錄」,自訂篩選條件。(圖1)
 |
| 篩選目前的紀錄(圖1) |
這次遇到的情況 是在事件來源中找不到 自訂的來源「VIP」。(圖2)
 |
| 自訂來源VIP(圖2) |
這時候就可以透過,手動編輯查詢。
是在「篩選目前的紀錄>XML」,將手動查詢 打勾。(圖3)
 |
| 手動查詢(圖3) |
裡面會有段
<QueryList> <Query Id="0" Path="file://D:\dwn\1206Log資料處理\VIP Events\W51128030049.evtx">
<Select Path="file://D:\dwn\1206Log資料處理\VIP Events\W51128030049.evtx"> *</Select>
</Query>
* 內可以自行編輯查詢內容
------------------------
ex: 時間是 要查11/25~12/06 & 來源 VIP
<QueryList>
<Query Id="0" Path="file://D:\dwn\1206Log資料處理\VIP Events\W51128030049.evtx">
<Select Path="file://D:\dwn\1206Log資料處理\VIP Events\W51128030049.evtx">
*[System[TimeCreated[@SystemTime>='2024-11-25T00:00:00.000Z' and @SystemTime<='2024-12-06T23:59:59.999Z'] and Provider[@Name='VIP']]]
</Select>
</Query>
</QueryList>
!!!注意!!!
自訂好的篩選器儲存後,下次帶出的 也是A檔案的篩選。
如果有B、C、D 檔都是一樣的篩選,匯入後 還是需要 改一下 篩選器 的檔案。
如果有B、C、D 檔都是一樣的篩選,匯入後 還是需要 改一下 篩選器 的檔案。
儲存篩選器,存下的就只是一段文字檔xml
留言
張貼留言