詢問所有基於日期/時間的事件日誌，而不是路徑

Question

我正在調查我的PC上的問題（更確切地說是在一堆文件的xcopy期間發生共享衝突），並且我在考慮驗證事件登錄，但我想調查哪些是xcopy的開始，它的結束，像發生之間的所有事件：

wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text 

（時間戳從命令echo [!TIME!]，一個之前和一個檢索僅在xcopy命令的後面）

該命令不被接受，因爲在使用wevtutil qe時，不允許使用*。我可以看一下事件查看器，但是之後我需要調查所有可能的日誌（並且我對此不太熟悉）。

有沒有辦法查詢所有事件日誌並在時間戳上過濾它們？

Answer 1

雖然微軟和其他人都說這個格式是UTC，但它實際上是一個變體，如果你查詢的值你會看到差異，沒有「T」的初學者。

格式是BIAS在字符串末尾的正確時間，所以對於+600 TZ中的WMI時間字符串結尾偏差爲「+600」的值，可以將其讀爲本地（像許多微軟樣本所認爲的一樣）。

但是，如果偏差是「-000」，例如我的情況下，所有值都是您預期的10個小時（600分鐘）。