Sysevent.evt 上使用字符串的 Logparser 2.2

Question

004 2008-11-23 02:18:49 0%%827|1.1.1593.0|{9CB31878-8FED-45F4-B45F-AF8A3EC94F7A}|||||WIN|108510|S-1-5-21-1229272821- 838170752-1417001333-21676|未知||0|44| http://go.microsoft.com/fwlink/?linkid=74409|服务:W32Times;文件:C:\WINDOWS\system32\w32times.exe|0|%%807|||||||尚未分类|尚未分类||

我在系统事件日志 (sysevent.evt) 中有上述信息，并尝试创建一个批处理文件，该文件将搜索某些其他系统上的其他事件日志，并提取带有字符串“w32times”的任何信息。这是我尝试过但没有成功的方法，它搜索日志但返回 0 值。

I:\LogParser>logparser -i:EVT -o:DATAGRID "SELECT EventID, TimeGeneerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt WHERE EventID= '3004' AND St​​rings='W32Times'"

统计数据：

处理的元素： 28727 元素输出：0 执行时间：0.19秒

我已经尝试过使用小写字母，并且还在字符串后使用了LIKE命令

Answer 1

logparser -i:EVT -o:DATAGRID "从 c:\Temp\Sysevent.Evt WHERE EventID= '3004' 和类似 '%W32Times%' 的字符串中选择 EventID、TimeGenerate、EventCategory、字符串"