|
|
本帖最后由 newfish 于 2013-3-6 01:16 编辑
我最近需要在WIN7以上系统查询一个时间段日志.,
步骤如下
我用wevtutil 命令查看2013年2月25日12点28分4秒到28分6秒的日志如下.
wevtutil qe security /q:"*[System[(Level=4 or Level=0) and TimeCreated[@SystemTime>='2013-02-25T012:28:04.000Z' and @SystemTime<='2013-02-25T12:28:06.999Z']]]" /f:text
OK.当我在CMD里输入这串命令.敲击回车.返回了空.我并不吃惊.也许我哪里写错了.但是当我看了又看.最后打开win7 日志查询工具.点开筛选日志.选择日期后.点确定.
居然出来了...他居然出来了....居然出来了!!!!. 更恐怖的是.我手贱.点开旁边的XML选项.居然发现现成的命令躺在那边..当时我一惊.心想.好东西啊!. 但是奇怪的一幕发生了...时间居然是如下时间....04:28:04.000Z
我吧这条命令改成了XML出现的时间.
wevtutil qe security /q:"*[System[(Level=4 or Level=0) and TimeCreated[@SystemTime>='2013-02-25T04:28:04.000Z' and @SystemTime<='2013-02-25T04:28:06.999Z']]]" /f:text
.居然..居然成功的得到了结果..这相差的几个小时哪算的...难道还要算上什么setoff????
各位观众,更奇怪的还有 甚至会出现日期的差距...甚至是几天的差距....明明在试图界面选择的是A时间...结果点XML 出现的居然是B日期...介让我咋用命令去查询东西!!!!!!!!!!
求各位大神解释一下.求各位大神指导一下..我要查询日志...!!!!!!!!!!!!!!!!!!!!!!!!! |
评分
-
查看全部评分
|
发表于 2013-3-4 17:59:12
发表于 2013-3-4 22:25:30