Compartir a través de

Estructura EVENTLOGRECORD (winnt.h)

  • Artículo

Contiene información sobre un registro de eventos devuelto por la función ReadEventLog .

Sintaxis

typedef struct _EVENTLOGRECORD {
  DWORD Length;
  DWORD Reserved;
  DWORD RecordNumber;
  DWORD TimeGenerated;
  DWORD TimeWritten;
  DWORD EventID;
  WORD  EventType;
  WORD  NumStrings;
  WORD  EventCategory;
  WORD  ReservedFlags;
  DWORD ClosingRecordNumber;
  DWORD StringOffset;
  DWORD UserSidLength;
  DWORD UserSidOffset;
  DWORD DataLength;
  DWORD DataOffset;
} EVENTLOGRECORD, *PEVENTLOGRECORD;

Miembros

Length

Tamaño de este registro de eventos, en bytes. Tenga en cuenta que este valor se almacena en ambos extremos de la entrada para facilitar el movimiento hacia delante o hacia atrás a través del registro. La longitud incluye los bytes de relleno insertados al final del registro para la alineación DWORD .

Reserved

Valor DWORD que siempre se establece en ELF_LOG_SIGNATURE (el valor es 0x654c664c), que es ASCII para eLfL.

RecordNumber

Número del registro. Este valor se puede usar con la marca EVENTLOG_SEEK_READ en la función ReadEventLog para empezar a leer en un registro especificado. Para obtener más información, vea Registros de eventos.

TimeGenerated

Hora en la que se envió esta entrada. Esta hora se mide en el número de segundos transcurridos desde las 00:00:00 del 1 de enero de 1970, hora coordinada universal.

TimeWritten

Hora en la que el servicio recibió esta entrada que se escribirá en el registro. Esta hora se mide en el número de segundos transcurridos desde las 00:00:00 del 1 de enero de 1970, hora coordinada universal.

EventID

Identificador de evento. El valor es específico del origen del evento y se usa con el nombre de origen para buscar una cadena de descripción en el archivo de mensaje para el origen del evento. Para obtener más información, consulte Identificadores de eventos.

EventType

Tipo del evento. Este miembro puede ser uno de los siguientes valores.

Valor Significado
EVENTLOG_ERROR_TYPE
0x0001
 Evento de error
EVENTLOG_AUDIT_FAILURE
0x0010
 Evento de auditoría de error
EVENTLOG_AUDIT_SUCCESS
0x0008
 Evento de auditoría correcta
EVENTLOG_INFORMATION_TYPE
0x0004
 Evento de información
EVENTLOG_WARNING_TYPE
0x0002
 Evento de advertencia
 

Para obtener más información, vea Tipos de eventos.

NumStrings

Número de cadenas presentes en el registro (en la posición indicada por StringOffset). Estas cadenas se combinan en el mensaje antes de que se muestre al usuario.

EventCategory

Categoría de este evento. El significado de este valor depende del origen del evento. Para obtener más información, vea Categorías de eventos.

ReservedFlags

Reservado.

ClosingRecordNumber

Reservado.

StringOffset

Desplazamiento de las cadenas de descripción dentro de este registro de eventos.

UserSidLength

Tamaño del miembro UserSid , en bytes. Este valor puede ser cero si no se proporcionó ningún identificador de seguridad.

UserSidOffset

Desplazamiento del identificador de seguridad (SID) dentro de este registro de eventos. Para obtener el nombre de usuario de este SID, use la función LookupAccountSid .

DataLength

Tamaño de los datos específicos del evento (en la posición indicada por DataOffset), en bytes.

DataOffset

Desplazamiento de la información específica del evento dentro de este registro de eventos, en bytes. Esta información podría ser algo específico (un controlador de disco podría registrar el número de reintentos, por ejemplo), seguido de información binaria específica del evento que se registra y en el origen que generó la entrada.

Comentarios

Los miembros definidos van seguidos de las cadenas de reemplazo del mensaje identificado por el identificador de evento, la información binaria, algunos bytes de relleno para asegurarse de que la entrada completa está en un límite DWORD y, por último, la longitud de la entrada de registro de nuevo. Dado que las cadenas y la información binaria pueden tener cualquier longitud, no se define ningún miembro de estructura para hacer referencia a ellas. La declaración de esta estructura en Winnt.h describe estos miembros de la siguiente manera:

    // WCHAR SourceName[]
    // WCHAR Computername[]
    // SID   UserSid
    // WCHAR Strings[]
    // BYTE  Data[]
    // CHAR  Pad[]
    // DWORD Length;

El nombre de origen es una cadena de longitud variable que especifica el nombre del origen del evento. El nombre del equipo es el nombre del equipo que generó el evento. Puede seguirse con algunos bytes de relleno para que el SID del usuario esté alineado en un límite DWORD . El SID de usuario identifica al usuario activo en el momento en que se registró este evento. Si UserSidLength es cero, este campo puede estar vacío.

El identificador de evento junto con el nombre de origen y un identificador de idioma identifican una cadena que describe el evento con más detalle. Las cadenas se usan como cadenas de reemplazo y se combinan en la cadena de mensaje para realizar un mensaje completo. Las cadenas de mensaje se incluyen en un archivo de mensaje especificado en la entrada de origen del Registro. Para obtener la cadena de mensaje adecuada del archivo de mensaje, cargue el archivo de mensajes con la función LoadLibrary y use la función FormatMessage .

La información binaria es información específica del evento. Podría ser el contenido de los registros del procesador cuando un controlador de dispositivo recibió un error, un volcado de un paquete no válido que se recibió de la red, un volcado de todas las estructuras de un programa (cuando se detectó que el área de datos estaba dañada), etc. Esta información debe ser útil para el escritor del controlador de dispositivo o la aplicación en el seguimiento de errores o interrupciones no autorizadas en la aplicación.

Requisitos

Requisito Value
Cliente mínimo compatible Windows 2000 Professional [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows 2000 Server [solo aplicaciones de escritorio]
Encabezado winnt.h (incluya Windows.h)

Consulte también

LookupAccountSid

ReadEventLog