36、Windows系统监控与优化指南

Windows系统监控与优化指南

1. 创建和使用保存的查询

对于Windows Vista、Windows Server 2008及更高版本，微软显著增强了事件查看器的过滤和查询功能。现在，事件查看器支持使用XPath查询来创建自定义视图和过滤事件日志。XPath是一种用于识别XML文档特定部分的非XML语言，事件查看器利用XPath表达式匹配并选择源日志中的元素，将其复制到目标日志以创建自定义或过滤视图。

1.1 创建自定义视图步骤

以下是创建和保存自定义视图的详细步骤：
1. 点击“管理工具”菜单中的“事件查看器”启动它。
2. 选择“自定义视图”节点，在“操作”窗格或“操作”菜单中，点击“创建自定义视图”。
3. 在“创建自定义视图”对话框中，使用“日志记录时间”列表选择要包含的事件记录时间范围。可以选择“任何时间”、“过去1小时”、“过去12小时”、“过去24小时”、“过去7天”或“过去30天”，也可以指定自定义范围。
4. 使用“事件级别”复选框指定要包含的事件级别，选择“详细”可获取更多详细信息。
5. 可以为特定的日志集或特定的事件源创建自定义视图：
- 使用“事件日志”列表选择要包含的事件日志，通过选择相关复选框可以选择多个事件日志。如果选择了特定的事件日志，则排除所有其他事件日志。
- 使用“事件源”列表选择要包含的事件源，通过选择相关复选框可以选择多个事件源。如果选择了特定的事件源，则排除所有其他事件源。
6. 可选择使用“用户”和“计算机”框指定要包含的用户和计算机。如果不指定，则包含所有用户和计算机生成的事件。
7. 点击“XML”选项卡以显示相关的XPath查