Я использую журнал событий и планировщик задач на windows server 2012 для запуска сценария на основе события. Это приложение не очень хорошо записывает в журнал событий. Идентификаторы событий - только 0 или 1, а данные события - единственная уникальная вещь для запроса. Интересно, связана ли моя проблема с двоеточиями и / или пробелами?
Это данные XML в журнале событий, которые мне нужно искать:
<EventData>
<Data>in Tgo_iadminCommon.CommitTransaction: Error ending transaction... MSG is: General SQL error. ORA-03114: not connected to ORACLE</Data>
</EventData>
Это мой запрос, с вырезкой и вставкой данных о событии:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[EventData[Data='in Tgo_iadminCommon.CommitTransaction: Error ending transaction... MSG is: General SQL error. ORA-03114: not connected to ORACLE']]</Select>
</Query>
</QueryList>
Нет результатов. Тем не менее, когда это мой запрос, он работает нормально, так что мне интересно, связано ли это с пробелами и / или двоеточиями?
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[EventData[Data='in TWTHL7Service.ServiceStart, Error Calling Create Objects']]
</Select>
</Query>
</QueryList>
Я думал о чем-то вроде powershell, я не слишком знаком так что я еще не пошел по этому пути. Я знаю, что фильтр журнала событий не может использовать подстановочные знаки или «содержит» при выполнении запроса. Какие-либо предложения?