Wevtutil для вывода описания журнала событий

Question

Можно ли в любом случае выводить поле описания только в записи журнала событий?

Я использую ток:

wevtutil qe Application /q:*[System[(EventID=431)]] /f:text /rd:true /c:2 /gm:true > C  :\query.txt

Однако это выводит все. Я просто хочу вывести описание, которое находится под:

<EventData> 
<Data> Description bllah blah</data> 
</EventData>

Answer 1

Вы можете использовать /f:text модификатор и grep с ^|FIND "Description"

wevtutil qe Применение /q:*[System[(EventID=431)]] /f:text /rd:true /c:2 /gm:true ^|FIND "Description" > C:\query.txt

Обратите внимание на ^ перед каналом, он экранирует канал в сценариях.