Windows事件日志
我正在开发一个应用程序来从多个Windows系统捕获事件日志(安全性)。我有一个EntryWritten的处理程序。我能够将大多数字段从事件查看器映射到.net中的.net条目。但是,我似乎找不到事件查看器中显示的级别、OpCode和任务类别字段的映射。关于我是如何在vb.net或c#中得到这个的,有什么想法吗?谢谢
回答 1
Stack Overflow用户
发布于 2013-08-14 00:39:42
EventLog类在System.Diagnostics命名空间中不包含用于Level、OpCode或Task的字段。但是,在EventRecord名称空间中有能够返回这些字段的System.Diagnostics.Eventing.Reader类。注意,这个名称空间是,主要用于从远程机器检索事件日志。即使您也可以使用它在本地机器上获取日志,它也会向系统打开一个本地管道,这使得它比EventLog类慢。但是,如果您确实需要访问这些字段,通常使用这个类的方式如下:
private void LoadEventLogs()
{
List<EventRecord> eventLogs = new List<EventRecord>();
EventLogSession session = new EventLogSession();
foreach (string logName in session.GetLogNames())
{
EventLogQuery query = new EventLogQuery(logName, PathType.LogName);
query.TolerateQueryErrors = true;
query.Session = session;
EventLogWatcher logWatcher = new EventLogWatcher(query);
logWatcher.EventRecordWritten +=
new EventHandler<EventRecordWrittenEventArgs>(LogWatcher_EventRecordWritten);
try
{
logWatcher.Enabled = true;
}
catch (EventLogException) { }
// This is how you'd read the logs
//using (EventLogReader reader = new EventLogReader(query))
//{
// for (EventRecord eventInstance = reader.ReadEvent(); eventInstance != null; eventInstance = reader.ReadEvent())
// {
// eventLogs.Add(eventInstance);
// }
//}
}
}和LogWatcher_EventRecordWritten事件处理程序:
private void LogWatcher_EventRecordWritten(object sender, EventRecordWrittenEventArgs e)
{
var level = e.EventRecord.Level;
var task = e.EventRecord.TaskDisplayName;
var opCode = e.EventRecord.OpcodeDisplayName;
// Other properties
}请注意,我将logWatcher.Enabled = true;语句封装在一个try-catch块中,因为并不是所有的源都允许写条目的侦听器(安全性应该很好)。注释部分向您展示了一个读取所有日志的示例(如果需要的话)。
https://stackoverflow.com/questions/18220626
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号