Función EvtQuery (winevt.h)
Ejecuta una consulta para recuperar eventos de un canal o archivo de registro que coincidan con los criterios de consulta especificados.
Sintaxis
EVT_HANDLE EvtQuery(
[in] EVT_HANDLE Session,
[in] LPCWSTR Path,
[in] LPCWSTR Query,
[in] DWORD Flags
);
Parámetros
[in] Session
Identificador de sesión remota que devuelve la función EvtOpenSession . Establezca en NULL para consultar eventos en el equipo local.
[in] Path
Nombre del canal o la ruta de acceso completa a un archivo de registro que contiene los eventos que desea consultar. Puede especificar un archivo de registro .evt, .evtx o.etl. La ruta de acceso es necesaria si el parámetro Query contiene una consulta XPath; la ruta de acceso se omite si el parámetro Query contiene una consulta XML estructurada y la consulta especifica la ruta de acceso.
[in] Query
Consulta que especifica los tipos de eventos que desea recuperar. Puede especificar una consulta XPath 1.0 o una consulta XML estructurada. Si XPath contiene más de 20 expresiones, use una consulta XML estructurada. Para recibir todos los eventos, establezca este parámetro en NULL o "*".
[in] Flags
Una o varias marcas que especifican el orden en que desea recibir los eventos y si está consultando en un canal o archivo de registro. Para conocer los valores posibles, consulte la enumeración EVT_QUERY_FLAGS .
Valor devuelto
Identificador de los resultados de la consulta si se realiza correctamente; en caso contrario, NULL. Si la función devuelve NULL, llame a la función GetLastError para obtener el código de error.
Comentarios
Para obtener eventos de los resultados de la consulta, llame a la función EvtNext . Para recuperar eventos que comienzan con un evento específico en los resultados, llame a la función EvtSeek .
Debe llamar a la función EvtClose con el identificador de resultados de la consulta cuando haya terminado.
Solo debe usar el identificador de consulta que esta función devuelve en el mismo subproceso que creó el identificador.
Ejemplos
Para obtener un ejemplo en el que se muestra cómo usar esta función, consulte Consulta de eventos.
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible | Windows Vista [solo aplicaciones de escritorio] |
| Servidor mínimo compatible | Windows Server 2008 [solo aplicaciones de escritorio] |
| Plataforma de destino | Windows |
| Encabezado | winevt.h |
| Library | Wevtapi.lib |
| Archivo DLL | Wevtapi.dll |
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de