来自源的WEVTUtil过滤器

Question

我一直在尝试从WEVTUtil中筛选应用程序日志，以便查看特定的日志。但是，在筛选事件id 1036时，有两个单独的发布者。我希望能够只从MsiInstaller获取事件，但我无法弄清楚如何获取，而且我似乎找不到任何关于这方面的信息。

wevtutil qe Application "/q:*[System [(EventID=1036)]] /f:text 

这对我来说很有效，但它不会单独向我显示来自MsiInstaller的事件。我该怎么做呢？

Answer 1

在经历了足够的挠头之后，我找到了我自己问题的答案！这会过滤掉具有冲突源的所有查询(即，不是我想要的那个)。

wevtutil qe Application "/q:*[System [(EventID=1036)][Provider[@Name='MsiInstaller']]]" /f:text

Answer 2

Get-WinEvent是一种PowerShell替代方案。

示例：

Get-WinEvent -FilterHashtable @{LogName="Application";ID=1033;ProviderName='MsiInstaller'}

您可以根据需要设置日志名称和事件ID。