004 2008-11-23 02:18:49 0 %%827|1.1.1593.0|{9CB31878-8FED-45F4-B45F-AF8A3EC94F7A}|||||WIN|108510|S-1-5-21-1229272821- 838170752-1417001333-21676|Неизвестно||0|44|http://go.microsoft.com/fwlink/?linkid=74409|service:W32Times;file:C:\WINDOWS\system32\w32times.exe|0|%%807||||||| Еще не классифицировано|Еще не классифицировано||
У меня есть указанная выше информация в системном журнале событий (sysevent.evt), и я пытаюсь создать пакетный файл, который будет выполнять поиск в других журналах событий в некоторых других системах и извлекать любую информацию со строкой «w32times». Это то, что я пробовал безуспешно, он просматривает журналы, но возвращает 0 значений.
I:\LogParser>logparser -i:EVT -o:DATAGRID "ВЫБЕРИТЕ EventID, TimeGenerated, EventCategory, Strings FROM c:\Temp\Sysevent.Evt, ГДЕ EventID='3004' AND Strings='W32Times'"
Статистика:
Обработано элементов: 28727 Выведено элементов: 0 Время выполнения: 0,19 секунды
Я пробовал это со строчными буквами, а также использовал команду LIKE после строк
