Compartir a través de


Función EvtExportLog (winevt.h)

Copia eventos del canal o archivo de registro especificados y los escribe en el archivo de registro de destino.

Sintaxis

BOOL EvtExportLog(
  [in, optional] EVT_HANDLE Session,
  [in]           LPCWSTR    Path,
  [in]           LPCWSTR    Query,
  [in]           LPCWSTR    TargetFilePath,
  [in]           DWORD      Flags
);

Parámetros

[in, optional] Session

Identificador de sesión remota que devuelve la función EvtOpenSession . Establezca en NULL para los canales locales.

[in] Path

Nombre del canal o la ruta de acceso completa a un archivo de registro que contiene los eventos que desea exportar. Si el parámetro Query contiene una consulta XPath, debe especificar el canal o el archivo de registro. Si el parámetro Flags contiene EvtExportLogFilePath, debe especificar el archivo de registro. Si el parámetro Query contiene una consulta XML estructurada, el canal o ruta de acceso que especifique aquí debe coincidir con el canal o la ruta de acceso de la consulta. Si el parámetro Flags contiene EvtExportLogChannelPath, este parámetro puede ser NULL si la consulta es una consulta XML estructurada que especifica el canal.

[in] Query

Consulta que especifica los tipos de eventos que desea exportar. Puede especificar una consulta XPath 1.0 o una consulta XML estructurada. Si XPath contiene más de 20 expresiones, use una consulta XML estructurada. Para exportar todos los eventos, establezca este parámetro en NULL o "*".

[in] TargetFilePath

Ruta de acceso completa al archivo de registro de destino que recibirá los eventos. El archivo de registro de destino no debe existir.

[in] Flags

Marcas que indican si los eventos proceden de un canal o archivo de registro. Para obtener los valores posibles, consulte la enumeración EVT_EXPORTLOG_FLAGS .

Valor devuelto

Código o valor devuelto Descripción
TRUE
La función se ha realizado correctamente.
FALSE
Error en la función. Use la función GetLastError para obtener el código de error.

Comentarios

Puede exportar eventos desde varios canales mediante una consulta XML estructurada (consulte Consumo de eventos); sin embargo, no puede usar esta función para combinar eventos de varios archivos de registro. Si el resultado de la consulta está vacío, el servicio crea un archivo que contiene información de encabezado, pero sin eventos.

Para quitar eventos de un canal y escribirlos en un archivo de registro de destino, llame a la función EvtClearLog . Para incluir cadenas localizadas con los eventos en el archivo de registro, llame a la función EvtArchiveExportedLog .

Debe especificar la ruta de acceso absoluta al archivo de registro de destino; No puede usar rutas de acceso relativas y variables de entorno para especificar el archivo de registro de destino. La ruta de acceso puede ser una ruta de acceso de convención de nomenclatura universal (UNC). Debe usar .evtx como extensión de nombre de archivo.

Esta función afecta solo al canal o archivo de registro especificados; si el canal usa autoBackup o fileMax, esta función no afectará a esos archivos de copia de seguridad.

Ejemplos

Para ver un ejemplo que muestra cómo usar esta función, vea Guardar eventos en un archivo de registro.

Requisitos

Requisito Value
Cliente mínimo compatible Windows Vista [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2008 [solo aplicaciones de escritorio]
Plataforma de destino Windows
Encabezado winevt.h
Library Wevtapi.lib
Archivo DLL Wevtapi.dll

Consulte también

EvtArchiveExportedLog

EvtClearLog