特定の日付以降のすべてのイベント ログ エントリを選択しようとしています。これまでのところ、等しいと思いますが、これを指定された日付よりも大きく変更する方法がわかりません...まだ近いです!
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[TimeCreated[@SystemTime='2013-01-01T12:21:25.0000000']]]</Select>
</Query>
</QueryList>
EventLog の XPath クエリを作成する最良の方法を見つけました。カスタム ビューの作成方法については、こちらを参照してください。任意のフィルタを使用してカスタム ビューを作成したら、XML をクリックするだけで、作成した XPath クエリが表示されます。
次の課題は、日付のフォーマットでした。私はこれを使用しました:「yyyy-MM-ddThh:mm:ss:fffZ」
また、この日付以降のすべてを表示するというフィルターを作成することはできないと思います。そのため、希望する日付と現在の日付の間の範囲を単純に再作成しました。
完全を期すために、ここに私が作成したフィルターを示します (誰がこの仕様を思いつくでしょうか?)
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level 2 or Level=3) and TimeCreated[@SystemTime>='2013-01-01T12:00:00:000Z' and @SystemTime<='2013-02-13T05:30:34:948Z']]]</Select>
</Query>
</QueryList>
次のようなものを使用します。
*[System[TimeCreated[
number(translate(substring-before(@SystemTime, 'T'), '-', '')) > 20130101]]]
文字列全体を考慮する必要がある場合は、比較に不要なものをすべて取り除きます。
*[System[TimeCreated[
number(translate(@SystemTime, '-T:.', '')) > 201301011221250000000]]]