EvtQuery-Funktion (winevt.h)
Führt eine Abfrage aus, um Ereignisse aus einem Kanal oder einer Protokolldatei abzurufen, die den angegebenen Abfragekriterien entsprechen.
Syntax
EVT_HANDLE EvtQuery(
[in] EVT_HANDLE Session,
[in] LPCWSTR Path,
[in] LPCWSTR Query,
[in] DWORD Flags
);
Parameter
[in] Session
Ein Remotesitzungshandle, das die EvtOpenSession-Funktion zurückgibt. Legen Sie auf NULL fest, um Ereignisse auf dem lokalen Computer abzufragen.
[in] Path
Der Name des Kanals oder der vollständige Pfad zu einer Protokolldatei, die die ereignisse enthält, die Sie abfragen möchten. Sie können eine EVT-, EVTX- oder ETL-Protokolldatei angeben. Der Pfad ist erforderlich, wenn der Query-Parameter eine XPath-Abfrage enthält. der Pfad wird ignoriert, wenn der Query-Parameter eine strukturierte XML-Abfrage enthält und die Abfrage den Pfad angibt.
[in] Query
Eine Abfrage, die die Typen von Ereignissen angibt, die Sie abrufen möchten. Sie können eine XPath 1.0-Abfrage oder eine strukturierte XML-Abfrage angeben. Wenn Ihr XPath mehr als 20 Ausdrücke enthält, verwenden Sie eine strukturierte XML-Abfrage. Um alle Ereignisse zu empfangen, legen Sie diesen Parameter auf NULL oder "*" fest.
[in] Flags
Mindestens ein Flag, das die Reihenfolge angibt, in der die Ereignisse empfangen werden sollen und ob Sie eine Abfrage für einen Kanal oder eine Protokolldatei ausführen. Mögliche Werte finden Sie in der EVT_QUERY_FLAGS-Enumeration .
Rückgabewert
Ein Handle für die Abfrageergebnisse bei erfolgreicher Ausführung; andernfalls NULL. Wenn die Funktion NULL zurückgibt, rufen Sie die GetLastError-Funktion auf, um den Fehlercode abzurufen.
Hinweise
Um Ereignisse aus den Abfrageergebnissen abzurufen, rufen Sie die EvtNext-Funktion auf. Um Ereignisse abzurufen, die mit einem bestimmten Ereignis in den Ergebnissen beginnen, rufen Sie die EvtSeek-Funktion auf.
Wenn Sie fertig sind, müssen Sie die EvtClose-Funktion mit dem Abfrageergebnishandle aufrufen.
Sie dürfen nur das Abfragehandle verwenden, das diese Funktion für denselben Thread zurückgibt, der das Handle erstellt hat.
Beispiele
Ein Beispiel für die Verwendung dieser Funktion finden Sie unter Abfragen nach Ereignissen.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows Vista [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2008 [nur Desktop-Apps] |
| Zielplattform | Windows |
| Kopfzeile | winevt.h |
| Bibliothek | Wevtapi.lib |
| DLL | Wevtapi.dll |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für