Ereignisprotokollverweise
Aktualisiert: November 2007
Es gibt drei Arten von Standardereignisprotokollen auf einem Computer: das Anwendungsereignisprotokoll, das Sicherheitsereignisprotokoll und das Systemereignisprotokoll. Neben diesen Protokollen kann es weitere Protokolle geben, die durch Anwendungen auf dem Server installiert werden, sowie benutzerdefinierte Protokolle, die von Benutzern erstellt werden. Sie geben an, mit welchen dieser Ereignisprotokolle Sie arbeiten möchten. Die Verweismethoden für spezifische Protokolle richten sich danach, ob Sie Protokolleinträge lesen oder Einträge in das Protokoll schreiben möchten. Die folgende Abbildung bietet eine Gesamtübersicht über die Verwendung von Protokollverweisen für Lese- und Schreiboperationen.
Ereignisprotokollverweise
.gif)
Verweisen auf ein Protokoll zum Lesen von Einträgen
Wenn Sie Einträge aus einem Ereignisprotokoll lesen, wird das Protokoll anhand des Computer- und Protokollnamens eindeutig identifiziert. "Computername" steht für den Server, auf dem das Ereignisprotokoll vorhanden ist, und "Protokollname" entspricht dem Namen des Protokolls. Die Angabe des Computernamens ist optional. Wenn Sie keinen Computer angeben, wird vom lokalen Computer ausgegangen.
Angenommen, Sie verfügen über eine Instanz der EventLog-Komponente, über die Sie Einträge aus einem benutzerdefinierten Protokoll mit dem Namen "OrderEntrySystem" lesen möchten. Dieses Protokoll befindet sich auf einem Server mit dem Namen "myserver". Die Verbindung mit diesem Protokoll wird durch folgende Angaben hergestellt:
Der Computername lautet "myserver".
Der Protokollname lautet "OrderEntrySystem".
Sie können den Computernamen eines Protokolls abrufen, indem Sie die MachineName-Eigenschaft abfragen. Zum Abrufen des Protokollnamens fragen Sie die Log-Eigenschaft ab.
.gif "Sicherheitshinweis") Sicherheitshinweis: |
|---|
Behandeln Sie die Daten aus einem Ereignisprotokoll wie alle systemexternen Eingabedaten. Die Anwendung muss unter Umständen die Daten im Ereignisprotokoll überprüfen, bevor diese als Eingabe verwendet werden. Ein anderer, möglicherweise böswilliger Prozess kann auf das Ereignisprotokoll zugegriffen und Einträge hinzugefügt haben. |
Verweisen auf ein Protokoll zum Schreiben von Einträgen
Wenn Sie Einträge in ein Ereignisprotokoll schreiben, müssen Sie die Source-Eigenschaft festlegen. Durch die Source-Eigenschaft wird die Komponente als gültige Eintragsquelle für das Ereignisprotokoll registriert. Grundsätzlich können Sie eine beliebige Zeichenfolge als Wert für die Source-Eigenschaft angeben, es ist jedoch hilfreich, den Projektnamen zu verwenden.
.gif "Hinweis") Hinweis: |
|---|
Falls die Quelle bereits für das Protokoll registriert wurde, müssen Sie die Protokollnamenseigenschaft nicht festlegen, um Einträge in das Protokoll zu schreiben. Auch der Computername muss nicht angegeben werden. In diesem Fall wird der lokale Computer verwendet. |
Angenommen, Sie verfügen über eine Instanz der EventLog-Komponente, über die Sie Einträge in ein benutzerdefiniertes Protokoll mit dem Namen "OrderEntrySystem" schreiben möchten. Dieses Protokoll befindet sich auf dem lokalen Computer. In der Annahme, dass die Quelle noch nicht registriert wurde, würden Sie die Verbindung mit diesem Protokoll mit dem Computernamen ".", dem Protokollnamen "OrderEntrySystem" und einer beliebigen Zeichenfolge als Quelle herstellen.
| Hinweis: |
|---|
In diesem Fall bezeichnet der als Computername verwendete Punkt den lokalen Computer. |
Eine einzelne Quelle kann jeweils nur mit einem Ereignisprotokoll verknüpft werden (Einträge können also nur in dieses Protokoll geschrieben werden). Ein einzelnes Ereignisprotokoll kann dagegen über viele verschiedene Quellen verfügen, die gleichzeitig in das Protokoll schreiben. Das bedeutet, dass jede Instanz der EventLog-Komponente Einträge jeweils nur in ein Ereignisprotokoll schreiben kann, wenn sie für die Interaktion mit einer bestimmten Quelle konfiguriert ist. Falls Einträge in mehrere Protokolle geschrieben werden sollen, müssen Sie verschiedene Instanzen verwenden oder die Source-Eigenschaft einer vorhandenen Instanz ändern. Weitere Informationen über Ereignisprotokollquellen finden Sie unter EventLog oder Einführung in die EventLog-Komponente.
Siehe auch
Aufgaben
Exemplarische Vorgehensweise: Auswerten von Ereignisprotokollen, Ereignisquellen und Einträgen