Wie die Abfrage für Ereignisprotokoll details, die mit einer bestimmten Ereignis-id?

  1. Wie Sie wissen, ob ein bestimmtes Ereignis (Ereignis-ID, Zeit und Knoten als Eingänge) eingeloggt ist, oder nicht? [In diesem Fall, ich kenne nur ein Ereignis protokolliert werden]
  2. Wenn das Ereignis protokolliert wird, wie bekomme ich details wie event-Beschreibung, Protokoll-Namen, etc..

zB, will ich die Abfrage für eine Veranstaltung unter dem Knoten Anwendungen und Dienste Logs > Microsoft > Windows > groupPolicy > Betriebs -, und Ereignis-id ist 5315 und Uhrzeit ist die aktuelle Zeit.

InformationsquelleAutor satya | 2010-03-17
  1. 19

    Gibt es ein paar neue Wendungen, wenn Sie gehen, um zu Abfrage von Ereignissen aus dem neuen Stil von Windows EventLogs.

    1. Verwenden Sie die Klassen aus der System.Diagnostics.Eventing.Reader - namespace zu Lesen, die neuen Ereignisse.
    2. Ihre Abfrage in Xpath-form, so dass die Zeit Wert ist heikel, siehe msdn für die EventLogQuery - definition.
    3. Ihr Programm ausführen in access-Probleme, bereit sein, einen Benutzer zu imitieren, die in den EventReaders AD-Gruppe auf der logging-Maschine.

    Dieses Beispiel zeigt einige der neuen Methoden greifen, cheers.

            string eventID = "5312";
        string LogSource = "Microsoft-Windows-GroupPolicy/Operational";  
        string sQuery = "*[System/EventID=" + eventID + "]";

        var elQuery = new EventLogQuery(LogSource, PathType.LogName, sQuery);
        var elReader = new System.Diagnostics.Eventing.Reader.EventLogReader(elQuery);

        List<EventRecord> eventList = new List<EventRecord>();
        for (EventRecord eventInstance = elReader.ReadEvent();
            null != eventInstance; eventInstance = elReader.ReadEvent())
        {
            //Access event properties here:
            //eventInstance.LogName;
            //eventInstance.ProviderName;
            eventList.Add(eventInstance);
        }
    • wie über die erste Veranstaltung innerhalb der angegebenen Termine? query = "*[System[" + "(Anbieter/@Name=\"Microsoft Office 15 Warnungen\") und " + //"(Ereignis-id=300) und " + "(TimeCreated/@SystemTime &gt;= \"" + t1 + "\") und " + "(TimeCreated/@SystemTime &lt;= \"" + t2 + "\")" + "]]"; ich erhalte-Abfrage-Ausnahme
    • Was ist die LogSource wenn ich will, um zu sehen " Windows-Protokolle/System?
    • elReader werden sollte, verpackt in einem using - Anweisung
    InformationsquelleAutor Tj Kellie
  2. 11

    Könnte man die Abfrage des Ereignis-log-in Frage:

    var sourceName = "MySource";
var el = new EventLog("Application");
var latestEntryTime = (from entry in el.Entries.Cast<EventLogEntry>()
                       where entry.Source == sourceName
                       && //put other where clauses here...
                       orderby entry.TimeWritten descending
                       select entry).First();

    Jedoch gewarnt, dass dieser Ansatz langsam, da die Entries Sammlung neigt dazu, ziemlich groß.

    InformationsquelleAutor Mark Seemann
Schreibe einen Kommentar