Wevtutil\Event :使用XPath筛选器获取具有不同事件ids的事件列表

Question

我需要一个使用"wevtutil“工具获得id为6005或6006的事件列表。此命令工作正常：

wevtutil qe system /rd:true /q:*[System[EventID=6005]]

但我需要得到ID 6005和6006的两个事件。我试过了

wevtutil qe system /rd:true /q:*[System[EventID=6005 or EventID=6006]]

但它又回来了

指定了太多的参数。参数不正确。

我该怎么修呢？

注意:每个事件都有以下XML结构

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='EventLog'/><EventID Qualifiers='32768'>6005</EventID><Level>4</Level><Task>0</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2018-01-24T18:24:41.592259500Z'/><EventRecordID>350</EventRecordID><Channel>System</Channel><Computer>LAPTOP-IN03NS68</Computer><Security/></System><EventData><Binary>E20701000300180012001800290050020000000000000000</Binary></EventData></Event>

Answer 1

/q：*[系统(EventID=6005)或(EventID=6006)]

Answer 2

艾尔克孙已经接听了命令。必须使用双引号。