Sysevent.evt 上使用字符串的 Logparser 2.2
004 2008-11-23 02:18:49 0%%827|1.1.1593.0|{9CB31878-8FED-45F4-B45F-AF8A3EC94F7A}|||||WIN|108510|S-1-5-21-1229272821- 838170752-1417001333-21676|未知||0|44| http://go.microsoft.com/fwlink/?linkid=74409|服务:W32Times;文件:C:\WINDOWS\system32\w32times.exe|0|%%807|||||||尚未分类|尚未分类||
我在系统事件日志 (sysevent.evt) 中有上述信息,并尝试创建一个批处理文件,该文件将搜索某些其他系统上的其他事件日志,并提取带有字符串“w32times”的任何信息。这是我尝试过但没有成功的方法,它搜索日志但返回 0 值。
I:\LogParser>logparser -i:EVT -o:DATAGRID "SELECT EventID, TimeGeneerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt WHERE EventID= '3004' AND Strings='W32Times'"
统计数据:
处理的元素: 28727 元素输出:0 执行时间:0.19秒
我已经尝试过使用小写字母,并且还在字符串后使用了LIKE命令
004 2008-11-23 02:18:49 0 %%827|1.1.1593.0|{9CB31878-8FED-45F4-B45F-AF8A3EC94F7A}|||||WIN|108510|S-1-5-21-1229272821-838170752-1417001333-21676|Unknown||0|44|http://go.microsoft.com/fwlink/?linkid=74409|service:W32Times;file:C:\WINDOWS\system32\w32times.exe|0|%%807|||||||Not Yet Classified|Not Yet Classified||
I have the above information in a system event log (sysevent.evt) and am trying to create a batch file that will search throughout other event logs on some of the other systems and pull out any information with the string "w32times." This is what I have tried without success, it searches through the logs but returnes 0 values.
I:\LogParser>logparser -i:EVT -o:DATAGRID "SELECT EventID, TimeGenerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt WHERE EventID= '3004' AND Strings='W32Times'"
Statistics:
Elements processed: 28727
Elements output: 0
Execution time: 0.19 seconds
I have tried it with lower case letters and also used the LIKE command after strings
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
logparser -i:EVT -o:DATAGRID "从 c:\Temp\Sysevent.Evt WHERE EventID= '3004' 和类似 '%W32Times%' 的字符串中选择 EventID、TimeGenerate、EventCategory、字符串"
logparser -i:EVT -o:DATAGRID "SELECT EventID, TimeGenerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt WHERE EventID= '3004' AND Strings like '%W32Times%'"