详解EVENTLOGRECORD结构体遇到的问题

最新推荐文章于 2024-05-18 09:53:12 发布
最新推荐文章于 2024-05-18 09:53:12 发布
阅读量2k 收藏 4
点赞数
分类专栏: c++ 文章标签: 事件管理器 EVENTLOGRECORD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011569253/article/details/76088008
版权

如何获取电脑的各种事件信息,我相信随便一搜索就都知道了,这样的帖子很多,但是他们的例子很多根本获取不到事件的详细信息。ReadEventLog获取具体事件信息,我就不做过多讲述了,很多帖子都有使用方法,下面我要讲的是EVENTLOGRECORD结构体。这个结构体https://msdn.microsoft.com/en-us/library/windows/desktop/aa363646(v=vs.85).aspx有介绍,但是不是很详细

typedef struct _EVENTLOGRECORD {
    DWORD  Length;        // Length of full record
    DWORD  Reserved;      // Used by the service
    DWORD  RecordNumber;  // Absolute record number
    DWORD  TimeGenerated; // Seconds since 1-1-1970
    DWORD  TimeWritten;   // Seconds since 1-1-1970
    DWORD  EventID;
    WORD   EventType;
    WORD   NumStrings;
    WORD   EventCategory;
    WORD   ReservedFlags; // For use with paired events (auditing)
    DWORD  ClosingRecordNumber; // For use with paired events (auditing)
    DWORD  StringOffset;  // Offset from beginning of record
    DWORD  UserSidLength;
    DWORD  UserSidOffset;
    DWORD  DataLength;
    DWORD  DataOffset;    // Offset from beginning of record
    //
    // Then follow:
    //
    // WCHAR SourceName[]
    // WCHAR Computername[]
    // SID   UserSid
    // WCHAR Strings[]
    // BYTE  Data[]
    // CHAR  Pad[]
    // DWORD Length;
    //
} EVENTLOGRECORD, *PEVENTLOGRECORD;

 注意:DWORD  EventID;这个字段不能直接作为判断事件的id 需要转(short)pevlr->EventID在做判断。

这个是源码的内容,下面我就讲如何获取详细信息,前面的数据可以直接看出来,但是结构体后面的数据块存放的是源名称,计算机名,详细信息

下面我就讲讲如何获取这些东西,我看了好多帖子  他们都是这样获取源名称 

UINTuOffset = 0; // 偏移量

uOffset = sizeof(EVENTLOGRECORD) ;
LPTSTR pstr = (LPTSTR)(LPBYTE)pevlr + uOffset;

我试着这样写,但是实际情况根本获取不到完整的源名称,存在偏差我在win7和win10测试 偏差结果一样 下面是我获取源名称的方法

UINTuOffset = 0; // 偏移量
uOffset = sizeof(EVENTLOGRECORD) - 10;
LPTSTR pstr = (LPTSTR)(LPBYTE)pevlr + uOffset;

之后获取计算机名称 

uOffset += lstrlen(pstr) + 1;
LPTSTR pstrcomputer = (LPTSTR)(LPBYTE)pevlr + uOffset;就ok了

下面我要讲述的是获取详细信息。msdn上介绍这个结构体 有一个这个字段 

DWORD  StringOffset;  // Offset from beginning of record

The offset of the description strings within this event log record.

这个字段是详细信息的偏移量,但是你会发现在获取详细信息的时候根本不对

我不知道这个值返回为什么不对,希望有知道大神讲一下。

我发现这个字段并不是没有用,他的值是2倍的详细信息起始点,找到了这个规律,就可以获取详细信息了。

代码如下:

uOffset = pevlr->StringOffset / 2;
LPTSTR ShutdownActionType = (LPTSTR)(LPBYTE)pevlr + uOffset;

之后的字段获取直接加字符串长度再加1,就可以获取之后的字段了。

相关代码请参考http://download.csdn.net/detail/u011569253/9910254



奔跑中的蓝胖子
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
读取windows日志
jijie_ming的博客
10-27 121
*日志遍历处理*/
EventLog实现事件日志操作
weixin_34051201的博客
05-07 6553
选中”我的电脑”,在其右键菜单中选择“管理”,在打开的对话框中包括了如下图所示的“日志”信息:  选中其中的某一条日志,可以看到如下的详细信息:     我们应该如何通过写代码的方式向其中添加“日志”呢? 在操作之前,先明确几个概念: 1:事件日志名(logName):“事件查看器”中的每一项,如“应用程序”、“Internet Explorer”、“安全性”和“系统”都是日志...
探索高效日志管理的艺术:log-record
最新发布
gitblog_00074的博客
05-18 267
探索高效日志管理的艺术:log-record 项目地址:https://gitcode.com/qqxx6661/log-record 在开发过程中,记录日志是一项至关重要的任务,它有助于调试、监控和理解系统的运行状态。然而,如何优雅地在不影响业务逻辑的情况下记录日志呢?这就是log-record开源项目所要解决的问题。这个强大的工具提供了一种非侵入式的日志记录方式,结合了SpEL表达式、自定义上...
读取系统日志eventlog记录
热门推荐
gaiazhang‘s blog
02-26 1万+
方法一   用API读取 使用 方法二  .net 提供的类EventLog double DiffSec=0; EventLog e = new EventLog(); e.Log = "System"; foreach (EventLogEntry l in e.Entries)
Event Logging 技术简介
colorknight的专栏
11-16 1万+
1.     EVENT LOGGING概述       当错误发生时,系统管理员或技术支持需要知道错误原因是什么,如何恢复丢失数据和阻止错误复现。WINDOWS的Event-logging服务为此提供了解决方案。应用程序,操作系统或其它系统服务可以向该服务记录重要的事件消息,如:磁盘空间不足、没有访问权限等。系统管理员可以通过这些消息来确定错误发生的原因以及发生的上下文环境。通过定期的查看这
3389如何擦除日志
蓝法典的专栏
03-29 1523
一:开始 - 程序 - 管理工具 - 计算机管理 - 系统工具 -事件查看器,然后清除日志。 二: Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%/system32/config,默认文件大小512KB,管理员都会改变这个默认大
详解C# 结构体
12-17
然而,如果结构体很大,频繁的复制可能会导致性能问题。 理解这些特点对于编写高效的C#代码至关重要。结构体适合于表示轻量级对象,例如在处理大量小型数据时,如几何形状或颜色等。在设计大型复杂系统时,明智地...
详解Swift 结构体
09-07
Swift中的结构体是一种复合数据类型,它用于封装多个值,并且可以包含属性、方法以及其他功能。结构体在Swift中扮演着重要角色,因为它们提供了一种定义自定义数据类型的方式,使得开发者能够根据需求定制数据结构。...
详解Go 结构体格式化输出
12-17
在软件系统中定位问题时日志不可或缺,但是当一个系统功能繁多,需要打印的日志也多如牛毛,此时为了提高我们浏览日志的效率,便于阅读的输出格式必不可少。 打印结构体是打印日志时最长见的操作,但是当结构体内容...
详解C语言结构体中的函数指针
09-02
在C语言中,结构体是一种复合数据类型,它允许我们将多个不同类型的变量组合在一起作为一个单一的实体。然而,与面向对象编程语言如C++不同,C语言的标准结构体不支持直接包含成员函数。为了在结构体中引用或调用...
Windows EventLog
huanongying131的博客
12-14 2107
转: https://github.com/sgentle/evtail/blob/master/evtail.c #include <windows.h> #include <stdio.h> #include <strings.h> #include <time.h> #define BUFFER_SIZE 1024*4 #define R...
使用EventLog类写Windows事件日志
立雪三尺
05-02 1万+
此文转自  银河使者  http://www.cnblogs.com/nokiaguy/archive/2009/02/26/1398708.html 多谢作者分享            操作系统: Windows XP SP3             开发工具: Visual Studio 2008                  语言: C# 3.0  .net Fram
EVENTLOGRECORD结构体定义
07-22
`EVENTLOGRECORD` 是一个用于表示事件日志记录的结构体。以下是其大致定义: ```c typedef struct _EVENTLOGRECORD { DWORD Length; DWORD Reserved; DWORD RecordNumber; DWORD TimeGenerated; DWORD TimeWritten; DWORD EventID; WORD EventType; WORD NumStrings; WORD EventCategory; WORD ReservedFlags; DWORD ClosingRecordNumber; DWORD StringOffset; DWORD UserSidLength; DWORD UserSidOffset; DWORD DataLength; DWORD DataOffset; // 后续可能会有可变长度的字段 } EVENTLOGRECORD, *PEVENTLOGRECORD; ``` 其中,各字段的含义如下: - `Length`:事件日志记录的总长度(包括结构体本身和后续可能的可变长度字段)。 - `Reserved`:保留字段,不使用。 - `RecordNumber`:事件日志记录的序号。 - `TimeGenerated`:事件发生的时间戳(生成时间)。 - `TimeWritten`:事件写入日志的时间戳。 - `EventID`:事件的标识符。 - `EventType`:事件类型,如信息、警告、错误等。 - `NumStrings`:事件中包含的字符串数量。 - `EventCategory`:事件的分类。 - `ReservedFlags`:保留字段,不使用。 - `ClosingRecordNumber`:关闭事件记录的序号。 - `StringOffset`:第一个字符串的偏移量。 - `UserSidLength`:用户安全标识符(SID)的长度。 - `UserSidOffset`:用户SID的偏移量。 - `DataLength`:事件数据的长度。 - `DataOffset`:事件数据的偏移量。 请注意,`EVENTLOGRECORD` 结构体中的字段可能会根据实际情况有所变化,具体取决于事件日志记录的内容和属性。以上仅为一般定义示例。如果您需要在代码中使用该结构体,请根据实际情况进行适当调整。 希望对您有所帮助!如果您有任何其他问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值