最新 24 小時內的,且工作類別是 1、2、3 的
wevtutil.exe epl Application log.evtx /ow:true /q:"*[System[(Level=1 or Level=2 or Level=3) and TimeCreated[timediff(@SystemTime) <= 86400000]]]"
時間大於某一天的
wevtutil.exe epl Application log.evtx /ow:true /q:"*[System[TimeCreated[@SystemTime>='2015-10-02T00:00:00.000Z']]]"
Application 是應用程式
epl 是匯出記錄檔
86400000 是毫秒
/ow 是覆蓋
/q: 是過濾範圍
留言
請問一下如何將evtx轉成純文字檔
這個我真的沒試過,不過你可試著 google