Question

내 PC의 문제를 조사하고 있습니다. (더 정확히 말하면 파일 한 묶음의 xcopy) 공유 위반이 발생했습니다. 이벤트를 확인하려고합니다. 로그인,하지만 난 그 xcopy의 시작과 그것의 끝, 같은 사이에 발생하는 모든 이벤트 조사 싶습니다

wevtutil qe * /q:"*[System[TimeCreated[@SystemTime>='2017-04-11T03:30:00' and @SystemTime<'2017-04-11T03:33:00']]]" /f:text 

을 (타임 스탬프는 명령 echo [!TIME!], 하나의 직전 일에서 검색 xcopy 명령 뒤)

이 명령은 허용되지 않습니다. wevtutil qe으로 작업하는 동안 *의 사용은 허용되지 않습니다. 이벤트 뷰어 내부를 들여다 볼 수는 있지만 모든 가능한 로그를 조사해야 할 필요가 있습니다.

모든 이벤트 로그를 조사하고 타임 스탬프로 필터링하는 방법이 있습니까?

Answer 1

Microsoft와 다른 사람들은 형식이 UTC라고 말하면서 실제로 차이가 있지만 값을 쿼리하면 차이가 나타나며 처음에는 "T"가 표시되지 않습니다.

형식은 BIAS의 문자열 끝 부분의 정확한 시간이므로 WMI 시간 문자열의 끝 부분에 "+600"의 바이어스가있는 +600 TZ의 나를 위해 값을 로컬로 읽을 수 있습니다 시간 (많은 Microsoft 샘플에서 항상 추측 하듯이)입니다.

예를 들어 바이어스가 "-000"인 경우 내 경우에는 값이 예상보다 오래 10 시간 (600 분) 더 오래 걸립니다.