ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

Windows事件日志

2019-11-22 23:06:11  阅读:349  来源: 互联网

标签:windows vb-net c net visual-studio


我正在开发一个应用程序,以捕获来自多个Windows系统的事件日志(安全性).我有一个EntryWritten处理程序.我能够将大多数字段从事件查看器映射到.net中的EntryWrittenEventArgs条目.但是,我似乎找不到在事件查看器中显示的“级别”,“操作代码”和“任务类别”字段的映射.关于如何在vb.net或C#中获得此信息的任何想法?谢谢

解决方法:

System.Diagnostics命名空间中的EventLog类不包含有关Level,OpCode或Task的字段.但是,System.Diagnostics.Eventing.Reader命名空间中有EventRecord类,该类能够返回这些字段.请注意,此名称空间主要用于从远程计算机检索事件日志.即使您也可以使用它在本地计算机上获取日志,它也会打开到系统的本地管道,这使其比EventLog类要慢.但是,如果您确实需要访问这些字段,则通常使用此类:

    private void LoadEventLogs()
    {
        List<EventRecord> eventLogs = new List<EventRecord>();

        EventLogSession session = new EventLogSession();

        foreach (string logName in session.GetLogNames())
        {
            EventLogQuery query = new EventLogQuery(logName, PathType.LogName);
            query.TolerateQueryErrors = true;
            query.Session = session;

            EventLogWatcher logWatcher = new EventLogWatcher(query);
            logWatcher.EventRecordWritten += 
                   new EventHandler<EventRecordWrittenEventArgs>(LogWatcher_EventRecordWritten);

            try
            {
                logWatcher.Enabled = true;
            }
            catch (EventLogException) { }


            // This is how you'd read the logs
            //using (EventLogReader reader = new EventLogReader(query))
            //{
            //    for (EventRecord eventInstance = reader.ReadEvent(); eventInstance != null; eventInstance = reader.ReadEvent())
            //    {
            //        eventLogs.Add(eventInstance);
            //    }
            //}
        }
    }

还有LogWatcher_EventRecordWritten事件处理程序:

 private void LogWatcher_EventRecordWritten(object sender, EventRecordWrittenEventArgs e)
    {
        var level = e.EventRecord.Level;
        var task = e.EventRecord.TaskDisplayName;
        var opCode = e.EventRecord.OpcodeDisplayName;
        // Other properties
    }

请注意,我包装了logWatcher.Enabled = true; try-catch块中的语句,因为并非所有源都允许输入写侦听器(安全性应该很好).注释掉的部分为您提供了读取所有日志(如果需要)的示例.

标签:windows,vb-net,c,net,visual-studio
来源: https://codeday.me/bug/20191122/2063414.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有