Compartir a través de

Función EvtQuery (winevt.h)

  • Artículo

Ejecuta una consulta para recuperar eventos de un canal o archivo de registro que coincidan con los criterios de consulta especificados.

Sintaxis

EVT_HANDLE EvtQuery(
  [in] EVT_HANDLE Session,
  [in] LPCWSTR    Path,
  [in] LPCWSTR    Query,
  [in] DWORD      Flags
);

Parámetros

[in] Session

Identificador de sesión remota que devuelve la función EvtOpenSession . Establezca en NULL para consultar eventos en el equipo local.

[in] Path

Nombre del canal o la ruta de acceso completa a un archivo de registro que contiene los eventos que desea consultar. Puede especificar un archivo de registro .evt, .evtx o.etl. La ruta de acceso es necesaria si el parámetro Query contiene una consulta XPath; la ruta de acceso se omite si el parámetro Query contiene una consulta XML estructurada y la consulta especifica la ruta de acceso.

[in] Query

Consulta que especifica los tipos de eventos que desea recuperar. Puede especificar una consulta XPath 1.0 o una consulta XML estructurada. Si XPath contiene más de 20 expresiones, use una consulta XML estructurada. Para recibir todos los eventos, establezca este parámetro en NULL o "*".

[in] Flags

Una o varias marcas que especifican el orden en que desea recibir los eventos y si está consultando en un canal o archivo de registro. Para conocer los valores posibles, consulte la enumeración EVT_QUERY_FLAGS .

Valor devuelto

Identificador de los resultados de la consulta si se realiza correctamente; en caso contrario, NULL. Si la función devuelve NULL, llame a la función GetLastError para obtener el código de error.

Comentarios

Para obtener eventos de los resultados de la consulta, llame a la función EvtNext . Para recuperar eventos que comienzan con un evento específico en los resultados, llame a la función EvtSeek .

Debe llamar a la función EvtClose con el identificador de resultados de la consulta cuando haya terminado.

Solo debe usar el identificador de consulta que esta función devuelve en el mismo subproceso que creó el identificador.

Ejemplos

Para obtener un ejemplo en el que se muestra cómo usar esta función, consulte Consulta de eventos.

Requisitos

Requisito Value
Cliente mínimo compatible Windows Vista [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2008 [solo aplicaciones de escritorio]
Plataforma de destino Windows
Encabezado winevt.h
Library Wevtapi.lib
Archivo DLL Wevtapi.dll

Consulte también

EvtNext

EvtSeek

EvtSubscribe