根据日期/时间，而不是在路径上询问所有事件日志

Question

我正在调查我的PC上的一个问题(更确切地说，是在xcopy期间违反了一堆文件)，我正在考虑验证事件日志，但是我想调查在xcopy开始到结束之间发生的所有事件，比如：

wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text

(从命令echo [!TIME!]中检索时间戳，一个就在xcopy命令之前，另一个就在xcopy命令之后)

此命令不被接受，因为在使用*时不允许使用wevtutil qe。我可以在事件查看器中查看一下，但是接下来我需要调查所有可能的日志(而且我对此不太熟悉)。

有没有一种检查所有事件日志并在时间戳上过滤它们的方法？

Answer 1

虽然微软和其他人说格式是UTC，但实际上它是一种变化，如果您查询值，您将看到差异，没有"T“作为开始。

格式是字符串末尾偏差的正确时间，因此对于我来说，在WMI时间字符串的末尾偏差为" +600“的+600 TZ中，值可以读取为本地时间(正如许多Microsoft示例所假设的那样)。

但是，如果偏倚是"-000“，例如，在我的例子中，值都比您预期的大10小时(600分钟)。