Windows日志服务

最新推荐文章于 2023-10-14 23:08:35 发布
最新推荐文章于 2023-10-14 23:08:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: windows 文章标签: windows 注册表 语言 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianye_hit/article/details/40786735
版权

Windows日志服务

修改注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog此项下是事件查看器里面所有的事件日志,XP系统默认有三个,Application,System,Security。可以添加一个项作为新的事件日志,也可以直接建在系统默认的Application下。事件日志的子项叫事件源。

假设新建一个123456事件日志,在该事件源下创建一个SampleEventSource事件源。

至于怎么操作注册表此处就不讨论了

事件源的项下需要添加几个值:

CategoryCount

自定义分类个数

REG_DWORD

0x00000003

CategoryMessageFile

类型消息文件

REG_SZ

EventMessageFile

事件消息文件

REG_SZ

ParameterMessageFile

参数消息文件

REG_SZ

TypesSupported

支持事件类型

REG_DWORD

0x00000007

事件类型包括

#define EVENTLOG_SUCCESS                             0x0000

#define EVENTLOG_ERROR_TYPE                     0x0001

#define EVENTLOG_WARNING_TYPE               0x0002

#define EVENTLOG_INFORMATION_TYPE             0x0004

#define EVENTLOG_AUDIT_SUCCESS               0x0008

#define EVENTLOG_AUDIT_FAILURE               0x0010

TypesSupported的值等于所需支持的每个值的和,0x001f全部包括

中间三项需要有消息文件(MessageFile)提供,下面介绍如何生成MessageFile。

生成MessageFile

VS有一个工具,叫MessageCompiler(MC.exe),是用来生成MessageFile的,一般MessageFile都是dll,我们这里也生成dll。

首先编写MC文件,用txt编写,然后将结尾改成.mc即可。

注释

MC文件的注释前需要加一个分号‘;’,然后再加‘//’或者‘/*’。多行注释需要每行前面都加分号。

例如:

;//Thisisasingle-linecomment.

;/*Thisisablockcomment.

;Itspansmultiplelines.

;*/

头部声明部分

头部定义了一些类型名,语言和ID号类型的信息。

MessageIdTypedef=type

定义ID号的类型,如WORDDWORD等。

MC生成的.h文件中会看到类似#define    name     ((type)0xnnnnnnnn)的定义。

SeverityNames=(name=number[:name])

定义消息级别,默认的消息级别是

SeverityNames=(Success=0x0 Informational=0x1 Warning=0x2 Error=0x3)

FacilityNames=(name=number[:name])

定义设备名称,默认的设备名称是

FacilityNames=(System=0x0FF Application=0xFFF)

LanguageNames=(name=number:filename)

定义语言名称,即消息使用的语言,MC会生成一个Bin文件。

OutputBase=number

消息ID号的进制,只能选10或者16进制。

消息定义部分

顾名思义,定义消息的地方。

MessageId=[number|+number]

消息的ID号,必须为16进制,例如MessageId=0x100

Severity= name

消息级别,声明中定义的例如Severity=Success

Facility= name

设备名称,声明中定义的,例如Facility=Application

SymbolicName= name

.h文件中的宏定义名称例如SymbolicName=MSG_ERROR

OutputBase={number}

同头部定义

Language= name

语言选择,例如Language=English

messagetext

消息文本信息,非英语需要<>括起来

.

结束符号

 

Messagetext中会用到一些格式符号:

%n                                     输入的占位符,可以从1到99

%0                                     结束符

%n  %r                               换行

%b                                     空格

%%messageid                   引入参数

编译连接

编辑一个MessageFile.mc放在VS根目录下的VC文件夹,也可放在外边操作的时候加目录。

在VS命令提示中执行如下三部完成编译连接全过程:

mcMessageFile.mc                                 生成.h.rc.bin文件

rcMessageFile.rc                                    生成.res文件

link–dll–noentryMessageFile.res           生成.dll文件

生成的dll文件路径就可以添加到前面提到的注册表值,可以把类型消息和参数放在一个dll中也可以分别放在三个dll中。

生成的.h文件可以用于使用消息文件的工程包含,使用其中的宏定义。

事件操作

提交一个事件

简单的操作涉及三个API函数:

RegisterEventSource                             注册事件源,获取事件日志的句柄

函数原型:

HANDLERegisterEventSource(

LPCTSTRlpUNCServerName,

LPCTSTRlpSourceName

);

LPCTSTRlpUNCServerName,              机器名称,如果是本机则为NULL

LPCTSTRlpSourceName                       事件源名称

 

ReportEvent                                           提交一个事件

函数原型:

BOOLReportEvent(

HANDLEhEventLog,

WORDwType,

WORDwCategory,

DWORDdwEventID,

PSIDlpUserSid,

WORDwNumStrings,

DWORDdwDataSize,

LPCTSTR*lpStrings,

LPVOIDlpRawData

);

HANDLEhEventLog,                           上个函数获得的句柄

WORDwType,                                       事件类型

可选的事件类型如下:

EVENTLOG_SUCCESS                             信息

EVENTLOG_ERROR_TYPE                            错误

EVENTLOG_WARNING_TYPE              警告

EVENTLOG_INFORMATION_TYPE      信息

EVENTLOG_AUDIT_SUCCESS                     审核成果

EVENTLOG_AUDIT_FAILURE                     审核失败

 

WORDwCategory,                                消息文件中定义的分类

DWORDdwEventID,                                  消息文件中定义的信息

PSIDlpUserSid,                                     用户SID

WORDwNumStrings,                           输入的字符串个数

DWORDdwDataSize,                           输入的数据大小

LPCTSTR*lpStrings,                             输入的字符串

LPVOIDlpRawData                              输入的数据

 

DeregisterEventSource                          注销事件源

函数原型:

BOOLDeregisterEventSource(

HANDLEhEventLog

);

HANDLEhEventLog                                   事件日志的句柄

获取SID

此处不深究给大家一段代码:

HANDLEhProcess=GetCurrentProcess();

HANDLEhToken;

OpenProcessToken(hProcess,TOKEN_QUERY,&hToken);

DWORDdwTemp=0;

chartagTokenInfoBuf[256]={0};

PTOKEN_USERtagTokenInfo=(PTOKEN_USER)tagTokenInfoBuf;

GetTokenInformation(hToken,TokenUser,tagTokenInfoBuf,sizeof(tagTokenInfoBuf),

&dwTemp));              

CloseHandle(hToken);

CloseHandle(hProcess);

tagTokenInfo里面有当前进程的令牌信息,包括PSID。


 

代码示例

.mc文件

; /*--------------------------------------------------------

; HEADER SECTION

;*/

SeverityNames=(Success=0x0:STATUS_SEVERITY_SUCCESS

              Informational=0x1:STATUS_SEVERITY_INFORMATIONAL

              Warning=0x2:STATUS_SEVERITY_WARNING

              Error=0x3:STATUS_SEVERITY_ERROR

             )

;

;

FacilityNames=(System=0x0:FACILITY_SYSTEM

              Runtime=0x2:FACILITY_RUNTIME

              Stubs=0x3:FACILITY_STUBS

              Io=0x4:FACILITY_IO_ERROR_CODE

             )

;

;

OutputBase=16

;

;/* ------------------------------------------------------------------

; MESSAGE DEFINITION SECTION

;*/

 

MessageIdTypedef=WORD

 

MessageId=0x1

SymbolicName=CAT_1

Language=English

Category 1

.

 

MessageId=0x2

SymbolicName=CAT_2

Language=English

Category 2

.

 

MessageId=0x3

SymbolicName=CAT_3

Language=English

Category 3

.

 

MessageIdTypedef=DWORD

 

MessageId=+0x001

Severity=Error

Facility=System

SymbolicName=MSG_COMMAND_ERR

Language=English

The command is incorrect.

.

 

MessageId=0x101

Severity=Success

Facility=System

SymbolicName=MSG_STRIKE_ANY_KEY

Language=English

Press any key to continue . . . %0

.

 

MessageId=0x102

Severity=Error

Facility=System

SymbolicName=MSG_FILE_BAD_CONTENTS

Language=English

File %1 contains %2, which is in error

.

 

MessageId=0x103

Severity=Warning

Facility=System

SymbolicName=MSG_RETRYS

Language=English

There have been %1 retrys with %2 success!Disconnect from

the server and retry later.

.

 

MessageId=0x104

Severity=Informational

Facility=System

SymbolicName=MSG_INSERT_DISK

Language=English

Insert %%1000 in %%1001 and hit any key whenready...

.

 

;/* Insert string parameters */

;

 

MessageId=1000

Severity=Success

Facility=System

SymbolicName=DISK

Language=English

disk%0

.

 

MessageId=1001

Severity=Success

Facility=System

SymbolicName=DRIVE

Language=English

drive%0

.

.mc生成的.h文件

/*--------------------------------------------------------

 HEADERSECTION

*/

 

 

 

 

 

/*------------------------------------------------------------------

 MESSAGEDEFINITION SECTION

*/

//

//  Valuesare 32 bit values laid out as follows:

//

//   3 3 2 22 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1

//   1 0 9 87 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0

// +---+-+-+-----------------------+-------------------------------+

// |Sev|C|R|     Facility          |               Code            |

// +---+-+-+-----------------------+-------------------------------+

//

//  where

//

//      Sev -is the severity code

//

//         00 - Success

//         01 - Informational

//         10 - Warning

//         11 - Error

//

//      C -is the Customer code flag

//

//      R -is a reserved bit

//

//     Facility - is the facility code

//

//      Code- is the facility's status code

//

//

// Define the facility codes

//

#define FACILITY_SYSTEM                  0x0

#define FACILITY_STUBS                   0x3

#define FACILITY_RUNTIME                 0x2

#define FACILITY_IO_ERROR_CODE           0x4

 

 

//

// Define the severity codes

//

#define STATUS_SEVERITY_WARNING          0x2

#define STATUS_SEVERITY_SUCCESS          0x0

#define STATUS_SEVERITY_INFORMATIONAL    0x1

#define STATUS_SEVERITY_ERROR            0x3

 

 

//

// MessageId: CAT_1

//

// MessageText:

//

// Category 1

//

#define CAT_1                            ((WORD)0x00000001L)

 

//

// MessageId: CAT_2

//

// MessageText:

//

// Category 2

//

#define CAT_2                            ((WORD)0x00000002L)

 

//

// MessageId: CAT_3

//

// MessageText:

//

// Category 3

//

#define CAT_3                            ((WORD)0x00000003L)

 

//

// MessageId: MSG_COMMAND_ERR

//

// MessageText:

//

// The command is incorrect.

//

#define MSG_COMMAND_ERR                  ((DWORD)0xC0000001L)

 

//

// MessageId: MSG_STRIKE_ANY_KEY

//

// MessageText:

//

// Press any key to continue . . . %0

//

#define MSG_STRIKE_ANY_KEY               ((DWORD)0x00000101L)

 

//

// MessageId: MSG_FILE_BAD_CONTENTS

//

// MessageText:

//

// File %1 contains %2, which is in error

//

#define MSG_FILE_BAD_CONTENTS            ((DWORD)0xC0000102L)

 

//

// MessageId: MSG_RETRYS

//

// MessageText:

//

// There have been %1 retrys with %2 success!Disconnect from

// the server and retry later.

//

#define MSG_RETRYS                       ((DWORD)0x80000103L)

 

//

// MessageId: MSG_INSERT_DISK

//

// MessageText:

//

// Insert %%1000 in %%1001 and hit any key whenready...

//

#define MSG_INSERT_DISK                  ((DWORD)0x40000104L)

 

/* Insert string parameters */

 

//

// MessageId: DISK

//

// MessageText:

//

// disk%0

//

#define DISK                            ((DWORD)0x000003E8L)

 

//

// MessageId: DRIVE

//

// MessageText:

//

// drive%0

//

#define DRIVE                           ((DWORD)0x000003E9L)

事件提交代码段

一个写事件的函数

bool WriteEventLog(LPCTSTR szSourceName =_T(""), WORD wEventType = NULL, LPCTSTR szEventMsg)

{

       HANDLEhEventLog;

       boolbSuccesful;

       boolbReturn = true;

       //-------------------------------------------------------------------------

 

       if(_T("")== szSourceName)

       {

              szSourceName= AfxGetApp()->m_pszExeName;

       }

 

       LPWSTRpBadCommand = L"1234567890";

       DWORDdwEventDataSize = (wcslen(pBadCommand) + 1) * sizeof(WCHAR);

 

       hEventLog= RegisterEventSource(NULL,szSourceName);

       if(NULL== hEventLog)

       {

              AfxMessageBox(_T("RegisterEventSourceFailed"));

              returnfalse;

       }

 

       LPWSTRlps[2];

       lps[0]= L"123";

       lps[1]= L"321";

 

       HANDLEhProcess = GetCurrentProcess();

       if(!hProcess)

       {

              returnfalse;

       }

 

       HANDLEhToken;

       if(!OpenProcessToken(hProcess, TOKEN_QUERY, &hToken) || !hToken ){

              CloseHandle(hProcess);

              returnfalse;

       }

 

       DWORDdwTemp = 0;

       chartagTokenInfoBuf[256] = {0};

       PTOKEN_USERtagTokenInfo = (PTOKEN_USER)tagTokenInfoBuf;

       if(!GetTokenInformation( hToken, TokenUser, tagTokenInfoBuf,

sizeof(tagTokenInfoBuf), &dwTemp ) )

       {

                     CloseHandle(hToken);

                     CloseHandle(hProcess);

       }

 

       bSuccesful= ReportEvent(hEventLog,

              wEventType,

              0x00000002L,

              0xC0000001L,

              tagTokenInfo->User.Sid,

              2,

              dwEventDataSize,

              (LPCWSTR*)lps,

              pBadCommand);

 

       if(false==bSuccesful)

       {

              AfxMessageBox(_T("ReportEventFailed"));

              bReturn=false;

       }

 

       DeregisterEventSource(hEventLog);

 

       returnbReturn;

 

};

转载请注明出处点击打开链接

tianye_hit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows日志外发配置
05-18
"Windows日志外发配置"主要涉及到使用evntlog工具进行设置,下面我们将详细探讨这一主题。 首先,了解evntlog工具。evntlog是Windows内置的一个命令行工具,用于与事件日志系统交互。它支持查看、清除和复制事件...
写系统日志中注意的问题
cpongo5
07-12 137
HANDLE m_hEventSource = ::RegisterEventSource(NULL, // local machine ("NT Service Demonstration")); // source name 在使用RegisterEventSource这个函数,第二个参数必须是 [HKEY_LOCAL_MACHINE\SYSTEM\Current...
打印系统日志(使用API)(转)
zhanghaifeng1419的专栏
12-23 935
打印系统日志(使用API) 通常,我们在编写小型软件时,不太注重使用系统的日志维护功能,而是自己定义日志文件。但当我们的软件变的庞大时,为了更好的维护日志,最好的办法就是使用系统提供的日志功能,系统会自动帮我们进行维护。 下面介绍几个打印日志的API: RegisterEventSource 函数原型:HANDLE RegisterEventSource(   LPCTSTR lpUNC
Event Logging 技术简介
colorknight的专栏
11-16 1万+
1.     EVENT LOGGING概述       当错误发生时,系统管理员或技术支持需要知道错误原因是什么,如何恢复丢失数据和阻止错误复现。WINDOWS的Event-logging服务为此提供了解决方案。应用程序,操作系统或其它系统服务可以向该服务记录重要的事件消息,如:磁盘空间不足、没有访问权限等。系统管理员可以通过这些消息来确定错误发生的原因以及发生的上下文环境。通过定期的查看这
windows日志系统写入
weixin_30394633的博客
09-18 454
windows日志系统写入 1.编辑MC文件,该文件用来生成事件DLL. ------------------------------------------------------------------- ; // MyEventProvider.mc ; // This is the header section. ...
windows日志服务全家桶(客户端+服务端)日志外发及接收软件(外带SNTP、TFTP、DHCP服务器功能)
06-29
Windows日志服务全家桶:综合日志管理与网络服务详解》 Windows日志服务全家桶是一款集成化软件,旨在提供全面的日志管理和网络服务功能。该软件包括客户端和服务端的日志外发与接收,同时集成了SNTP、TFTP和DHCP...
Syslog架设windows日志服务
10-04
Syslog架设windows日志服务
Syslog架设windows日志服务器.doc
07-06
Syslog架设windows日志服务
evtsys服务windows日志转换为syslog格式
06-01
综上所述,"evtsys服务"是连接Windows日志系统与syslog环境的桥梁,它简化了多平台日志管理,提高了IT运营的效率和安全性。通过正确配置和使用evtsys,我们可以更有效地收集、分析和利用Windows系统的日志信息,从而...
6. 事件记录
showna的专栏
03-28 5117
当一个典型的软件应用程序必须在某些特殊情况下让使用者知道时,通常会使用视觉或听觉返回的方式。软件大多数会给予这种类型事件报告的享受,因为它可以建立一个重要的假定:当它正在执行,而一个人类坐在机器的前面。然而,大部份的伺服软件并不能在上述之假设情形中执行。因此,服务器开发者使用文件或者一些其他类似持久稳固的储存器来保存经由软件报告的事件记录。然后系统管理者便可以经常地察看记录文件并且持续的监
Windows下的日志机制
wodamazi
09-25 539
对于日志,大部分人的想法应当和我起初的想法一致,只要写个函数,在这个函数中打开一个文件,把需要记录的事件信息写到这个文件中。然后在需要记录日志的地方调用这个函数。 但此时需要考虑的问题有很多,包括文件名的定义,是每次写日志都创建一个新文件还是在一个文件中写所有的信息。如果是同一个文件如果控制多线程同时写的问题;还有当日志文件过大时,如果删除以前的记录。读日志的方式,包括检索的功能;安全问题等等。...
Windows日志
Z_Grant的博客
05-29 1万+
文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和分析工具七,分析事件的方法---筛查1.利用PowerShell 来自动筛选 Windows 事件日志①Get-WinEvent强大但发杂②Get- EventL...
Windows日志】记录系统事件的日志
最新发布
第一天
10-14 1万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
windows 查看网络中断事件_等保测评2.0:Windows安全审计
weixin_33264203的博客
02-03 1961
一、说明本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。三、测评项...
Windows日志清除和Dll注入实现及排查小记
dayouzi的博客
08-07 998
关于Windows日志清除和Dll注入实现及排查的一些记录
如何使用ReportEvent
Feng______的专栏
01-06 4245
BOOL ReportEvent( _In_ HANDLE hEventLog, _In_ WORD wType, _In_ WORD wCategory, _In_ DWORD dwEventID, _In_ PSID lpUserSid, _In_ WORD wNumStrings, _In_ DWORD dwDataSize, _In_ LPC
[基于笔记本Windows10更新后网络图标消失,以及无法联网的解决]
qq_63351396的博客
05-28 1125
上周笔记本更新引发的网络问题: 1.笔记本电脑bios自动更新了net framework4.0导致网络图标消失 2.WIFI列表无附近wifi显示 3.无法拨号,系统设置的"网络"状态无法打开,一点开就闪退 引发原因: 安装了计算机校园网客户端netkeeper 解决方案: 1.按win+r调出运行窗口,输入regedit打开注册表编辑器 2.在左侧目录下依次打开 \HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\EventL
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
怎么开发一个windows日志服务
06-02
开发Windows日志服务可以使用.NET Framework提供的EventLog类库,下面是一个简单的实现方式: 1. 创建Windows服务项目:在Visual Studio中创建一个Windows服务项目,该项目会自动生成一个Service1.cs文件,其中包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值