如何从windows事件日志中检索PID？

Question

​

我有一个python代码，它使用python的WMI模块来获取windows事件查看器日志。但是我无法检索生成日志的进程的PID。我的代码：

wmi_obj = wmi.WMI('.') #Initialize WMI object and query.
wmi_query = "SELECT * FROM Win32_NTLogEvent WHERE Logfile='System' AND EventType=1"
query_result = wmi_obj.query(wmi_query) # Query WMI object

query_result是wmi对象的列表。此列表中的每个对象都是windows系统日志，我需要生成此日志的进程的PID。我已经浏览了几个msdn文档，但在那里找不到任何有用的东西。

我想检索上面图像中标记的信息。

Answer 1

用于获取事件日志项的Win32 API调用是ReadEventLog，这将返回EVENTLOGRECORD结构。它们没有用于进程标识符的字段，因此除非您的事件已将其包含在事件消息的数据中，否则它看起来将不可用。