查询架构
查询架构定义了以下元素和类型,可用于编写结构化 XML 查询,以从通道或日志文件中检索事件:
元素部分包含查询中使用的元素的名称;但是,若要获取每个元素的详细信息,请参阅包含 元素的复杂类型。
查询可以包含一个或多个 XPath 表达式,这些表达式用于在查询结果集中包括或排除事件。 可以从多个通道或日志文件查询事件,但不能混合使用通道和日志文件。 可以在采用 XPath (的任何函数中使用查询,例如 EvtQuery 或 EvtSubscribe 函数) 。 指定的每个 XPath 限制为 32 个表达式。 有关示例,请参阅 使用事件。
Windows SDK 包含 \Include\Query.xsd 文件中的架构。
除了查询架构,Windows 事件日志还定义了以下架构:
- EventManifest 架构 - 定义用于编写检测清单的元素和类型。
- 事件架构 - 定义用于呈现事件的元素和类型。
相关主题
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈