No Windows PowerShell, você pode digitar get-winevents sem nenhum parâmetro e despejará todos os eventos. Gostaria de ter acesso a todos os eventos no visualizador de eventos usando uma visualização personalizada. Eu posso, claro, apenas verificar tudo, mas isso resulta em uma consulta xml que é muito grande, então eu estou tentando fazer curingas para o caminho, em vez de especificar cada caminho. Eu tentei isso:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="*">*[System[TimeCreated[timediff(@SystemTime) <= 43200000]]]</Select>
</Query>
</QueryList>
Mas erros em Path="*" .
Como posso criar uma exibição personalizada que mostre todos os eventos? Eu encontrei um artigo do MSDN sobre o consumo de eventos que diz que você pode usar o curinga, mas eu acho que estou usando errado. Obrigado
Você não pode "curingar" o caminho - este é obrigatório e deve conter um determinado log de eventos. Você só pode usar curingas na expressão XPath para um determinado log de eventos. Além disso, lembro que há um limite para o número de nós que você pode ter, mas não me lembro exatamente o que era ...
Há um post relacionado aqui: link