Windows Event Log相关函数使用

最新推荐文章于 2024-04-22 09:20:50 发布
最新推荐文章于 2024-04-22 09:20:50 发布
阅读量2.5k 收藏
点赞数
分类专栏: C++

 一.EvtOpenLog

The EvtOpenLog function opens an exported or live event log and returns a handle that can be used to access the log. The returned handle can be used by subsequent calls to the EvtGetLogInfo function.

示例:

EVT_HANDLE log = NULL;      
LPCWSTR logPath = L"SimpleOperationalChannel";

log = EvtOpenLog( NULL, logPath, EvtOpenChannelPath);

if(log == NULL)
{
    wprintf(L"Error opening the log: 0x%x \n", GetLastError());
    return 1;
}

二.EvtClose

The EvtClose function closes an open event object handle that was previously returned from a Windows Event Log function. Any handle that is returned by a Windows Event Log function must be closed using this function call when the user is finished with the handle. The handle that is passed into this function becomes invalid after this function is successfully called.

EVT_HANDLE log = NULL;      
LPCWSTR logPath = L"SimpleOperationalChannel";

log = EvtOpenLog( NULL, logPath, EvtOpenChannelPath);
...
EvtClose(log);

三.EvtGetLogInfo

The EvtGetEventInfo function allows the caller to determine which clause in an event query or subscription filter selected a given event or to determine the channel or log that the event came from.

可查询的字段

typedef enum _EVT_LOG_PROPERTY_ID
{
    EvtLogCreationTime = 0,             // EvtVarTypeFileTime
    EvtLogLastAccessTime,               // EvtVarTypeFileTime
    EvtLogLastWriteTime,                // EvtVarTypeFileTime
    EvtLogFileSize,                     // EvtVarTypeUInt64
    EvtLogAttributes,                   // EvtVarTypeUInt32
    EvtLogNumberOfLogRecords,           // EvtVarTypeUInt64
    EvtLogOldestRecordNumber,           // EvtVarTypeUInt64
    EvtLogFull,                         // EvtVarTypeBoolean

} EVT_LOG_PROPERTY_ID;

示例:

EVT_VARIANT* logProperty = (EVT_VARIANT*) malloc (sizeof (EVT_VARIANT));
DWORD bufferSize = sizeof(EVT_VARIANT);

if( !EvtGetLogInfo(log, EvtLogNumberOfLogRecords, bufferSize, logProperty, &bufferSize))
{   
    //...
}

if(logProperty->Type == EvtVarTypeNull)
{
    wprintf(L"The value of the log number of events property is NULL.\n");
}
else
{
    wprintf(L"The value of the log number of events property is: %I64u \n", 
        logProperty->UInt64Val);
}

四.日志操作维护

1.EvtClearLog

The EvtClearLog function clears all events from an active log and exports the events to a target log file.

示例:

if ( !EvtClearLog(NULL, 
    L"Application",
    L"c:\\temp\\MyClearedEvents.log", 
    0 ))
    return GetLastError();

注意点:目录必须存在

2.EvtExportLog

The EvtExportLog function exports selected events from a channel or from a log file to a target log file based on an event query.

if ( !EvtExportLog(NULL, 
    L"Application",
    L"*",
    L"c:\\MyExportedEvents.log", 
    EvtExportLogChannelPath ))
    return GetLastError();

3.EvtArchiveExportedLog

The EvtArchiveExportedLog function archives localized information associated with the events in specified logs that have been created by either the EvtClearLog function or the EvtExportLog function.

示例:

if ( !EvtArchiveExportedLog(NULL, 
    L"c:\\MyExportedEvents.log", 
    MAKELCID( MAKELANGID(LANG_ENGLISH, SUBLANG_ENGLISH_US), SORT_DEFAULT ),
    0 ))
    return GetLastError();

存档的日志在此目录下:C:\Windows\System32\winevt\Logs

dongpanshan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openlog、syslog和closelog函数
happy803的专栏
12-07 1552
守护进程日志的实现 syslogd守护进程用于解决守护进程的日志记录问题,而日志信息保存的位置和记录的信息级别是在syslogd守护进程的配置文件中设定的。守护进程日志主要涉及3个函数,分别是openlog、syslog和closelog函数。表8.4所示为这3个函数的具体信息。 表8.4   openlog、syslog和closelog函数 头文件
WIN7/10下如何查看EVT格式操作系统日志
weixin_42925682的博客
08-25 754
Python解析EVT系统日志
c# 读取Windows EventLog
Ritottt的博客
05-15 2454
分析特定的的.evtx Windows 日志文件,用System.Diagnostics.EventLog,根本找不到LogName,其也仅仅能看到Windows系统自己的,不符合自己的需要,后来发现可以用System.Diagnostics.Eventing.Reader,既可以用LogName也可以指定文件,非常简单,故写了这份文件
Windows日志分析
最新发布
weixin_56233402的博客
04-22 3403
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Event Logging 技术简介
热门推荐
colorknight的专栏
11-16 1万+
1.     EVENT LOGGING概述       当错误发生时,系统管理员或技术支持需要知道错误原因是什么,如何恢复丢失数据和阻止错误复现。WINDOWSEvent-logging服务为此提供了解决方案。应用程序,操作系统或其它系统服务可以向该服务记录重要的事件消息,如:磁盘空间不足、没有访问权限等。系统管理员可以通过这些消息来确定错误发生的原因以及发生的上下文环境。通过定期的查看这
windows event logs分析
cnbird's blog
02-28 1901
登陆日志 4624  谁从哪里登陆,什么时间登陆 4627 管理员 5140 从哪里发起了共享连接 计划任务 106 - jobname,who,time 200 - start time and programe name 201 - finish name 141 - clean up
C_programming_code_view_event_log.rar_EventLog_event_event log
09-14
首先,我们要了解事件日志(Event Log)。在Windows操作系统中,事件日志是一个系统服务,用于收集应用程序、安全性和系统事件。它为管理员提供了详细的系统健康状况报告,包括程序崩溃、系统警告、登录事件等。通过...
load_log.rar_event_log
09-23
"Load Log Event Type To String for Linux Source Code"这个标题暗示我们关注的是一个与Linux系统加载日志事件相关的源代码项目,它可能是一个用于将特定的日志事件类型转换为可读字符串的库或工具。在这个项目中,...
Write Eventlog in Windows
12-01
DWORD dwEventType = EVENTLOG_INFORMATION_TYPE; ``` `ReportEvent()`函数还有其他几个重要的参数,例如事件ID(`wEventId`),严重性(`wType`),事件类别(`wCategory`),时间戳(`dwTimeGenerated`),以及...
windows事件ID及解释大全(非常完整).doc
05-31
Windows 事件 ID 及解释大全 Windows 操作系统中的事件 ID 是一个独特的数字代码,用于标识系统中的错误、警告、信息和其他事件。这些事件 ID 可以帮助系统管理员和开发者快速诊断和解决问题。本文将提供一个 ...
Eventlog To Syslog Translator-开源
05-03
Windows操作系统使用Eventlog来记录系统及应用的各种事件,而Unix/Linux系统则采用syslog作为其日志系统。然而,由于平台差异,这两种日志格式在跨平台交流时往往需要进行转换。"Eventlog To Syslog Translator"就是...
win32evtlog Module的用法
weixin_34384557的博客
06-12 759
2019独角兽企业重金招聘Python工程师标准>>> ...
Event Log 简单研究
weixin_34318326的博客
09-13 202
这两天要做loging方面的功能,顺便研究了一下EventLog使用方法。 EventLog 有两个方法 WriteEntry和WriteEvent. 这两个方法的区别,现在看起来只存在于以下方面: WriteEntry可以写EntryType, 包括Error, Information, Warning ... 而 WriteEvent只能写Information. WriteEve...
SyslogWindows事件日志收集
weixin_42434696的博客
08-09 5971
SyslogWindows事件日志收集EventLog Analyzer从分布式Windows设备收集事件日志,或从分布式Linux和UNIX设备、交换机和路由器(Cisco)收集syslog。事件日志报表为实时生成,以显示整个网络中的重要系统信息。 无需代理/客户端软件的日志收集 对于事件日志收集,eventlog analyzer应用程序不需要在收集日志所在的每台机器上安装单独的代理。收集W...
系统日志函数syslog(),openlog(),closelog()
tycoon的专栏
09-05 727
今天完成一个守护进程实验。   1 熟悉守护进程编写和调试(系统日志)   2 编写多进程程序的方法   本实验首先创建一个守护进程,然后在其中新建一个子进程,暂停10秒,自动退出,守护进程收集子进程退出的消息。源代码来自华清远见   #include   #include   #include   #include   #include   #include   int ma
ul click 事件 回调函数 event typescript 类型
04-01
在 TypeScript 中,使用以下方式定义一个 ul 元素的 click 事件回调函数: ```typescript const ulElement = document.querySelector('ul'); function handleClick(event: MouseEvent) { console.log(`Clicked on ${event.target}`); } ulElement.addEventListener('click', handleClick); ``` 其中,MouseEvent 是 TypeScript 中内置的事件类型,用于表示鼠标事件。其他常见的事件类型包括 KeyboardEvent(键盘事件)、TouchEvent(触摸事件)等。 在事件回调函数中,可以使用 event.target 属性来获取触发事件的元素。在上面的例子中,当点击 ul 元素中的任何一个子元素时,都会输出被点击的元素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值