在2008的系统日志自定义过滤查询时,如果以EventRecordID为key按照下面的语句进行查询,查询的结果不正确。
<QueryList>
<Query Id="0" Path="ForwardedEvents">
<Select Path="ForwardedEvents">*[System[(EventRecordID>=500)]]</Select>
</Query>
</QueryList>
希望是查询结果为EventRecordID>=500的系统日志,实际查询出来的系统日志却是EventRecordID<500的系统日志。
如果将查询语句修改为 <Select Path="ForwardedEvents">*[System[(EventRecordID>=10000)]]</Select> ,虽然可以查询出>=10000的系统日志,但是同时也能查询出<10000的系统日志。
想知道究竟是什么原因。
请教各位大虾。
