Freigeben über


Abfrageschema

Das Abfrageschema definiert die folgenden Elemente und Typen, mit denen Sie eine strukturierte XML-Abfrage schreiben können, um Ereignisse aus einem Kanal oder einer Protokolldatei abzurufen:

Der Abschnitt elements enthält die Namen der Elemente, die Sie in Ihrer Abfrage verwenden. Um jedoch die Details für jedes Element abzurufen, lesen Sie den komplexen Typ, der das Element enthält.

Eine Abfrage kann einen oder mehrere XPath-Ausdrücke enthalten, die zum Einschließen oder Ausschließen von Ereignissen im Abfrageresultset verwendet werden. Sie können Ereignisse aus mehreren Kanälen oder Protokolldateien abfragen, aber sie können keine Kanäle und Protokolldateien kombinieren. Sie können eine Abfrage in jeder Funktion verwenden, die einen XPath akzeptiert (z. B. die Funktionen EvtQuery oder EvtSubscribe ). Jeder von Ihnen angegebene XPath ist auf 32 Ausdrücke beschränkt. Ein Beispiel finden Sie unter Verwenden von Ereignissen.

Das Windows SDK enthält das Schema in der Datei \Include\Query.xsd.

Zusätzlich zum Abfrageschema definiert das Windows-Ereignisprotokoll auch die folgenden Schemas:

  • EventManifest-Schema: Definiert die Elemente und Typen, die zum Schreiben eines Instrumentierungsmanifests verwendet werden.
  • Ereignisschema: Definiert die Elemente und Typen, die zum Rendern eines Ereignisses verwendet werden.

Nutzen von Ereignissen