【发布时间】:2011-08-12 14:21:54
【问题描述】:
我有一些 C++ 代码可以非常愉快地使用 OpenEventLog 和 ReadEventLog API 调用来读取应用程序、安全性或系统事件日志。 我想阅读 Windows 7 上的 Setup 事件日志,因此我将“Setup”作为日志名称传递给 OpenEventLog,但我只是取回了应用程序日志的内容(这是未知日志的记录行为)。 如何阅读设置事件日志?
【问题讨论】:
标签: event-log
【发布时间】:2011-08-12 14:21:54
【问题描述】:
我已经解决了这个问题。 因为设置事件日志是一种新格式的日志,它只能使用新的 API 调用 EvtQuery、EvtNext 等来打开,旧的 OpenEventLog/ReadEventLog 函数在它上面不起作用。
【讨论】:
-
如果我们只想获取具有特定“Event-id”的最后一个事件,那么有可能吗?
-
看起来这应该是可能的。 Query 参数是一个 XPath 表达式,因此指定类似 Event/System[EventID=4] 并要求反向可能会起作用