получить "wevtutil epl test.evtx / q:", чтобы использовать несколько вариантов выбора для сохранения одного файла журнала событий

Question

Я пытаюсь сделать то же самое, что и средство просмотра событий, создав пользовательское представление и сохранив его как файл evtx.Вот что у меня есть, а также пользовательский XML, сгенерированный путем создания пользовательского представления в средстве просмотра событий.Также используя powershell.

$queryXML =
 Path="Application"
 Path="Application">*[System[Provider[@Name='Application'] and (Level=1  or Level=2 or Level=3)]]
 Path="Security">*[System[Provider[@Name='Application'] and (Level=1  or Level=2 or Level=3)]]
 Path="Setup">*[System[Provider[@Name='Application'] and (Level=1  or Level=2 or Level=3)]]
 Path="System">*[System[Provider[@Name='Application'] and (Level=1  or Level=2 or Level=3)]]
 Path="ForwardedEvents">*[System[Provider[@Name='Application'] and (Level=1  or Level=2 or Level=3)]]

 wevtutil epl C:\Users\user\Desktop\test.evtx "/q: $queryXML"

-

<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1  or Level=2)]]</Select>
<Select Path="Security">*[System[(Level=1  or Level=2)]]</Select>
<Select Path="Setup">*[System[(Level=1  or Level=2)]]</Select>
<Select Path="System">*[System[(Level=1  or Level=2)]]</Select>
<Select Path="ForwardedEvents">*[System[(Level=1  or Level=2)]]</Select>
</Query>
</QueryList>

Answer 1

разобрался с методом.Сохраните XML-запрос в виде файла .txt, затем вместо обозначения имени журнала событий, например «system», используйте путь к файлу .txt с запросом.