【问题标题】:WEVTUtil Filter from a sourceWEVTUtil 从源过滤
【发布时间】:2020-09-18 05:53:40
【问题描述】:
我一直在尝试从 WEVTUtil 过滤应用程序日志以查看特定日志。但是,在过滤事件 id 1036 时,有两个单独的发布者。
我希望能够从 MsiInstaller 获取事件,但我一生都无法弄清楚如何去做,而且我似乎找不到任何关于此的内容。
wevtutil qe Application "/q:*[System [(EventID=1036)]] /f:text
这对我有用,但它并没有单独显示来自 MsiInstaller 的事件。我该怎么办。
【问题讨论】:
标签:
windows
powershell
command-line
command
wevtutil
【解决方案1】:
PowerShell 替代方案是Get-WinEvent。
例子:
Get-WinEvent -FilterHashtable @{LogName="Application";ID=1033;ProviderName='MsiInstaller'}
您可以根据需要设置日志名称和事件 ID。
【解决方案2】:
经过足够的挠头后找到了我自己问题的答案!这会过滤掉所有具有冲突来源的查询(即不是我想要的)。
wevtutil qe Application "/q:*[System [(EventID=1036)][Provider[@Name='MsiInstaller']]]" /f:text