EvtExportLog, fonction (winevt.h)
Copie les événements du canal ou du fichier journal spécifié et les écrit dans le fichier journal cible.
Syntaxe
BOOL EvtExportLog(
[in, optional] EVT_HANDLE Session,
[in] LPCWSTR Path,
[in] LPCWSTR Query,
[in] LPCWSTR TargetFilePath,
[in] DWORD Flags
);
Paramètres
[in, optional] Session
Handle de session à distance que la fonction EvtOpenSession retourne. Définissez la valeur NULL pour les canaux locaux.
[in] Path
Nom du canal ou chemin d’accès complet à un fichier journal qui contient les événements que vous souhaitez exporter. Si le paramètre Query contient une requête XPath, vous devez spécifier le canal ou le fichier journal. Si le paramètre Flags contient EvtExportLogFilePath, vous devez spécifier le fichier journal. Si le paramètre Query contient une requête XML structurée, le canal ou le chemin que vous spécifiez ici doit correspondre au canal ou au chemin d’accès de la requête. Si le paramètre Flags contient EvtExportLogChannelPath, ce paramètre peut avoir la valeur NULL si la requête est une requête XML structurée qui spécifie le canal.
[in] Query
Requête qui spécifie les types d’événements que vous souhaitez exporter. Vous pouvez spécifier une requête XPath 1.0 ou une requête XML structurée. Si votre XPath contient plus de 20 expressions, utilisez une requête XML structurée. Pour exporter tous les événements, définissez ce paramètre sur NULL ou « * ».
[in] TargetFilePath
Chemin d’accès complet au fichier journal cible qui recevra les événements. Le fichier journal cible ne doit pas exister.
[in] Flags
Indicateurs qui indiquent si les événements proviennent d’un canal ou d’un fichier journal. Pour connaître les valeurs possibles, consultez l’énumération EVT_EXPORTLOG_FLAGS .
Valeur retournée
| Code/valeur de retour | Description |
|---|---|
|
La fonction a réussi. |
|
La fonction a échoué. Utilisez la fonction GetLastError pour obtenir le code d’erreur. |
Remarques
Vous pouvez exporter des événements à partir de plusieurs canaux à l’aide d’une requête XML structurée (voir Consommation d’événements) ; Toutefois, vous ne pouvez pas utiliser cette fonction pour fusionner des événements à partir de plusieurs fichiers journaux. Si le résultat de la requête est vide, le service crée un fichier qui contient des informations d’en-tête, mais aucun événement.
Pour supprimer des événements d’un canal et les écrire dans un fichier journal cible, appelez la fonction EvtClearLog . Pour inclure des chaînes localisées avec les événements dans le fichier journal, appelez la fonction EvtArchiveExportedLog .
Vous devez spécifier le chemin d’accès absolu au fichier journal cible ; vous ne pouvez pas utiliser de chemins d’accès relatifs et de variables d’environnement pour spécifier le fichier journal cible. Le chemin d’accès peut être un chemin d’accès UNC (Universal Naming Convention). Vous devez utiliser .evtx comme extension de nom de fichier.
Cette fonction affecte uniquement le canal ou le fichier journal spécifié. Si le canal utilise autoBackup ou fileMax, cette fonction n’affectera pas ces fichiers de sauvegarde.
Exemples
Pour obtenir un exemple qui montre comment utiliser cette fonction, consultez Enregistrement d’événements dans un fichier journal.
Configuration requise
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge | Windows Vista [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2008 [applications de bureau uniquement] |
| Plateforme cible | Windows |
| En-tête | winevt.h |
| Bibliothèque | Wevtapi.lib |
| DLL | Wevtapi.dll |